最新情報: Google は、Chrome がインストールごとの ID 番号を本家に送信していることをめぐって、プライバシーと GDPR をめぐる大規模な論争に直面する可能性があります。
火曜日、Chromiumベースのブラウザ「Kiwi」の開発に携わるソフトウェア開発者、アルノー・グラナル氏は、GitHub Issuesへの投稿で、Chromeが送信するリクエストヘッダーデータのプライバシーへの影響についてGoogleのエンジニアに異議を唱えた。グラナル氏はそれを固有の識別子と呼び、少なくともGoogleはウェブ上でユーザーを追跡するために利用できる可能性があると示唆した。
彼と他の人々は、識別子は個人を特定できるデータとみなされる可能性があるため、これは欧州の一般データ保護規則に違反していると主張している。
Google はコメントの要請には応じなかったが、ヘッダーの説明からは別の主張をするだろうと推測される。
ブラウザがサーバーからウェブページを取得する際、そのページに対するHTTPリクエストを送信します。このリクエストには、コロンで区切られたキーと値のペアであるヘッダーセットが含まれます。これらのヘッダーには、リクエストに関連するデータが記述されています。例えば、ヘッダーを送信することで、accept: text/htmlブラウザは受け入れるメディアタイプを認識できます。
Chromeは長年、少なくとも2012年以降、開発中の機能のフィールドトライアルを追跡するためにX-client-data、以前は と呼ばれていた というヘッダーを送信してきました。Googleは、ブラウザの初回インストール時にこれらのヘッダーをランダムに有効化します。アクティブなトライアルは、Chromeのアドレスバーに入力すると確認できます。「Variations」というラベルの下に、202c099d-377be55aのような16進数の長いリストが表示されるはずです。X-chrome-variationschrome://version/
この Chromium ソース コード ファイルの 32 行目に参照されているX-client-dataヘッダーは、Chrome ユーザーが利用できるフィールド トライアルのリストを Google に送信します。
Google は Chrome の機能に関する文書で、「この Chrome-Variations ヘッダー ( X-client-data) には個人を特定できる情報は含まれず、アクティブなバリエーションやインストールに影響を与える可能性のあるサーバー側の実験など、Chrome 自体のインストール状態のみが記述されます」と説明しています。
Google は、使用統計とクラッシュ レポートが無効になっている場合、特定のインストールのアクティブなバリエーションの数は、13 ビットのエントロピー内に収まる 0 から 7,999 までのランダム シード番号によって決定されると示唆しています。
エントロピーが低いほどブラウザフィンガープリンティングが困難になり、エントロピーが高いほどその逆になります。しかし、使用状況統計とクラッシュレポートはデフォルトで有効になっているため、ほとんどのChromeユーザーは、この特定のデータポイントに関しては高いエントロピーで操作しています。
「統計がオンになっている場合、IDはソースコード内で『高エントロピーID』と呼ばれ、『IPアドレス、オペレーティングシステム、Chromeのバージョン、その他のパラメータによって決定』され、インストール時に保持されます」とグラナル氏はThe Registerへの電子メールで説明した。
たとえば、Chrome を使用して YouTube にアクセスすると、ヘッダーには次のような文字列が含まれることがあります。
Xクライアントデータ: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
「こんなに長い ID では、可能性が 8,000 通りしかないとは信じがたい」とグラナル氏は述べた。
Chromeユーザーは、ブラウザのデベロッパーツールを開き、「ネットワーク」タブを選択してYouTubeなどのGoogleプロパティを読み込むか、にアクセスすることで、これを自分で確認できますhttps://ad.doubleclick.net/test。右側のデベロッパーツールパネルには、ページ読み込みリクエスト中に送信されたさまざまなヘッダーが表示されます。これには、が含まれますX-client-data。
「Google Chromeをインストールすると、インストールには0と7999の乱数が割り当てられ、この数字は、ユーザーの国、IPアドレス、およびGoogleが決定するその他の基準に応じて、Googleのサーバーによって提供される数字(「シード」)と混合されます(0から100億までの乱数になる可能性もありますが、私たちにはわかりません)。」とグラナル氏は説明した。
「この識別子はコンピュータに保存され、Google Chrome が Google と通信するたびに送信されます。これには DoubleClick サービス(広告ターゲティング)も含まれます(これが大きな違いを生みます)。」
youtube.comGranal 氏によると、この識別子は、、、、、およびその他の Google 所有のドメインに送信され、シークレット モードの場合を除いて、それらのドメインでのみ読み取ることができますgoogle.com。doubleclick.netgoogleadservices.com
この問題は以前にも話題になりました。2018年にも議論されました。しかし、Googleは現在、プライバシーとセキュリティのギャップを埋めつつ、ターゲティング広告の配信能力を維持することを目指し、ブラウザコード、拡張機能プラットフォーム、ウェブ仕様など、ウェブ技術の大幅な改訂を進めているため、再び重要な問題となっています。
Googleの改訂の目標の一つは、ブラウザフィンガープリンティング(ブラウザの技術的機能に基づいてインターネットユーザーに固有の識別子を作成すること)の有効性を低減することです。実際、Granal氏が発言したIssuesスレッドは、ヘッダーで送信されるテキスト文字列をUser-Agentより汎用的(エントロピーが低い)にすることでフィンガープリンティングの有用性を低減するというGoogleの計画に関するものでした。
マーケターの間では、フィンガープリンティングによる個人追跡能力の喪失に抵抗する声も上がっている。GitHubでの議論には、追跡用データの喪失によって広告詐欺の取り締まりが困難になり、Googleのデータ優位性が拡大することを懸念するアドテク企業関係者も参加している。
企業にオンラインマーケティングのアドバイスを行っているサイバーセキュリティと広告詐欺の研究者、オーガスティン・フー氏は、 The Registerへの電子メールで、フィンガープリンティングが減ると広告詐欺が増えるという考えを否定した。
「UA文字列は最初から不正行為の検出には全く役に立たなかった。なぜなら、有能なボットなら誰でも正規のUA文字列をコピー&ペーストして、それをどんな検出技術にも渡してすり抜けることができるからだ」と彼は述べた。「つまり、UA文字列がなくなっても不正行為は増加しない。もちろん、UA文字列がボット検出に役立つと仮定していた場合の話だが、それは間違いだ。」
しかし、たとえ Google だけが読み取れるとしても、この識別子の存在はX-client-data、Google が自社に対する防衛ではなく、第三者に対するプライバシーに重点を置いていることを明確に示しています。
コンピューター科学者で、プライバシーの独立研究者であり、アドバイザーでもあるルカス・オレニク氏は、The Registerへの電子メールで、この機能はしばらく前から存在しており、おそらく技術的な問題を追跡することを目的としているが、潜在的な問題を引き起こす可能性があると述べた。
Googleは来週リリース予定のCookieを崩壊させるChrome 80では「非常に軽微な不具合」しか発生しないと約束している
続きを読む
「このIDは透明性がかなり低く、ユーザーによる管理は決して容易ではありません」とオレニク氏は述べた。「ほとんどのユーザーは、このIDについて、それが何をするものなのか、いつ使われているのか、全く理解していないのではないでしょうか。潜在的な問題として考えられるのは、ユーザーがブラウザデータを消去しても、この永続IDがリセットされないことです。ある意味では、これは指紋のようなものと言えるでしょう。」
「このIDが単一の組織によって管理されているサイトにのみ送信されるという事実によって、リスクは概して限定される」と、彼はGoogleに言及して付け加えた。「つまり、このデータが正しく処理されているか、ユーザーがその情報を知ることができるか、あるいはIDを使って個人を特定できないようにするか、その確認は受信側の責任となる」
Fou 氏は、Google ではユーザーが Chrome、Gmail、Google マップ、Google ドキュメント、Android デバイスなどさまざまなサービスにログインしており、その方法ですでにユーザーを追跡できると指摘しています。
「つまり、User-Agentブラウザに文字列が存在することは、Googleにとって全く無関係ではないということです。なぜなら、Googleは望む人全員を識別できるからです(そして、Google Analytics、DoubleClick、AdSense、reCaptcha、その他重要なサイトのほぼすべてにコードが埋め込まれています)。つまり、どんなサイトを訪問した人でも、Googleは独自のファーストパーティCookieを設定して識別できるのです。」と彼は述べた。
ここにセキュリティ上の脆弱性が存在する可能性もあります。Granal氏は、ChromiumのソースコードはGoogleドメインの事前設定されたリストのみをチェックし、特定のドメインはチェックしていないと指摘しています。そのため、悪意のある人物がyoutube.vgのようなドメインを購入し、そこにウェブサイトを立ち上げてX-client-dataヘッダー情報を収集できる可能性があります。少なくとも削除通知が届くまでは。®
追加更新
この記事が提出された後、 The Registerに宛てた声明の中で、Google の広報担当者は、この Web 大手がX-client-dataヘッダーを個々のユーザーを識別または追跡するために使用していることを否定した。
「X-Client-Data ヘッダーは、Chrome が新機能を全ユーザーに公開する前にテストするのに役立ちます」と Google の広報担当者は述べています。
このヘッダーに含まれる情報は、Chrome が現在登録されているバリエーション、つまり新機能のトライアルを反映しています。この情報は、大規模なインストールグループのサーバー側指標を測定するために役立ちますが、個々のユーザーを識別または追跡するために使用されるものではありません。
