分析6年前、Googleはボット、スクレーパー、その他の自動ウェブ閲覧を除外し、人間がウェブサイトにアクセスできるようにするreCAPTCHAサービスを改訂しました。
2014年のv2アップデートでは、iframe(HTMLインラインフレーム)が追加されました。これは、あるウェブページを別のウェブページに埋め込む機能です。その後、2018年のv3アップデートでは、ボット検出の課題に対処するための機械学習が追加されました。
reCAPTCHAは、ネットユーザーが絵パズルなどを解くことで本人であることを証明することを可能にすると同時に、人々の情報を自社の広告事業に流し込むための仕組みも提供する。GoogleはreCAPTCHAのデータをパーソナライズ広告には利用していないと主張しており、reCAPTCHAの利用規約にもその旨が記載されている。
しかし、シリコンバレーの企業が提示した細則やその他の開示事項には、reCAPTCHAがあらゆる広告関連データ収集から完全に隔離されているとは明記されていない。プライバシー研究者たちは現在、同社がこの点を明確にする必要があると主張している。
ウェブ分析企業Victory Mediumの共同創業者、ザック・エドワーズ氏は、GoogleのreCAPTCHAのJavaScriptコードによって、この巨大企業が「トライアングル・シンク」を実行できることを発見した。これは、2つの異なるウェブドメインが、特定の個人に対して設定したCookieを関連付ける手法である。このような状況では、ユーザーが、これら2つの広告ドメインのいずれかに紐付けられたトラッキングスクリプトを実装したウェブサイトを訪問すると、両社ともその訪問者に関連するネットワークリクエストを受信し、どちらかの企業がその特定の個人をターゲットとした広告を表示できることになる。
ウェブブラウザのセキュリティモデルにおけるファーストパーティリソースとサードパーティリソースの区別に基づき、通常、2つの異なるドメインが同じCookieデータセットにアクセスすることは許可されません。しかし、トライアングル同期によってこの区別が解消されます。
広告成功の三角形?
「トライアングルシンクは広告の対象範囲を拡大し、より多くのドメインにわたってターゲットを絞ることを可能にする」とエドワーズ氏はThe Registerに語った。
彼によると、これは広告業界では一般的な慣行で、異なるドメインを持つ2つの企業が、特定の個人に関連付けられた識別子などのデータを共有できるようにするためだという。また、Googleのように複数のドメインを運営し、異なるドメインにまたがってインターネットユーザーを追跡したい単一の企業内でも、同様のことが行われているという。
「つまり、reCAPTCHA のgstatic.comドメインが三角同期を実行することで、google.com基本的に、いずれかのドメインが Web サイトに埋め込まれている場合に、ユーザーを見つけたり追跡したりできることが保証されるのです」とエドワーズ氏は述べた。
Cloudflare は Google の reCAPTCHA を廃止し、hCaptcha に移行しました。無料乗車の終了に伴い (プライバシーに関する問題も)
続きを読む
Googleによると、同社は三角形の同期にreCAPTCHAを使用しておらず、reCAPTCHAはブラウザ上の2箇所から静的リソースを読み込みgstatic.com、Cookieの書き込みや読み取りは行わないとのことです。また、このプロセスの一環として三角形のリクエストや同期は行われないと説明されています。また、このgstatic.comドメインはCookieデータを収集できないように設計されているため、「Cookieレス」であると言われています。
しかし、GoogleのドメインでホストされているreCAPTCHAのJavaScriptコードには、gstatic.comCookieへの参照が複数含まれています。また、reCAPTCHAウィジェットが埋め込まれたウェブページにアクセスすると、google.comサードパーティのCookieをブロックしようとした場合でも、「NID」設定Cookieが設定されます。
エドワーズ氏によると、これは典型的な三角同期ではないという。ncrts.com例えば、のようなサイトにreCAPTCHAを埋め込むと、gstatic.comリクエストは新しいリクエストにリダイレクトされgoogle.com、そこでgoogle.comCookieが設定される。「これは、両側でCookieを一致させる従来の同期ではなく、リクエストとCookieを一致させる三角同期です」と彼は述べた。
また、Google のプライバシー ポリシーでは、このgstatic.comドメインが、同社の広告製品用の Cookie を設定するために使用される多数のドメインの 1 つとして明確に特定されているとも指摘しています。
Google はgstatic.comCookie の読み取りや書き込みは行わないと主張していますが、ドメインではgoogle.comCookie の設定を促しているようです。
利用規約
エドワーズ氏は、自身が実施したSafariブラウザのテストでは、GoogleドメインがCookieではなく、サーバーにリンクされた一時的なブラウザデータストレージの一種であるセッションキーを設定していたことを指摘し、GoogleがCookieの取り扱い方について率直ではないと主張している。
GoogleのreCAPTCHA利用規約では、このサービスがデバイスとアプリケーションのデータをGoogleに送信すると規定されています。そのデータの取り扱い方法については、「サービス利用に関連して収集された情報は、reCAPTCHAの改善と一般的なセキュリティ目的に使用されます。Googleによるパーソナライズ広告には使用されません」と明記されています。
The RegisterはGoogleに対し、reCAPTCHAデータがパーソナライズ広告以外の広告事業の何らかの側面で利用される可能性があるかどうかを具体的に尋ねた。例えば、広告詐欺の対策に役立つ可能性がある。
Google の広報担当者は、上記で説明したポリシーを引用し、そのデータは reCAPTCHA を改善し、それが何を意味するにせよ、一般的なセキュリティ目的で使用される可能性があると述べました。
プライバシー研究者で元連邦取引委員会の技術者でもあるアシュカン・ソルタニ氏はツイッターで、グーグルの取り組みは同社が2011年と2012年にSafariのサードパーティCookieブロックを回避するために行ったこととよく似ていると述べた。
@Mozilla @Firefox が「クロスサイトトラッキング Cookie」をブロックするように設定されていても、Google の ReCaptcha がサードパーティ Cookie を設定する様子を示す短いクリップがあります #privacy #cookiewars pic.twitter.com/vWgibJ20ty
— アシュカン・ソルタニ (@ashk4n) 2020年10月30日
2012年、アメリカの消費者監視機関FTCは、Safariユーザーに対し追跡クッキーを配置しないと虚偽の説明をしたとしてGoogleに2,250万ドルの罰金を科した。
ソランティ氏は、Facebookが2019年にFTCと和解した件も関連している可能性を示唆した。この件では、Facebookはセキュリティという目的のためにデータを収集し、それを広告という別の目的にも使用したとして罰金を科せられた。
ソルタニ氏はThe Register宛の電子メールで、エドワーズ氏の主張を検証し、google.comユーザーのブラウザがサードパーティのCookieをブロックするように設定されている場合でもreCAPTCHAがCookieを設定することを確認したと述べた。
その後、彼は、hubspot.com/abuse-complaints ページにアクセスした際のネットワーク リクエストを描写したビデオを投稿しました。このページでは、 reCAPTCHA パズルを呼び出すための -hosted コードgoogle.comを実行する -hosted reCAPTCHA スクリプトを呼び出しますgstatic.com。
現状について議論したソルタニ氏は、セキュリティのために reCAPTCHA に頼っている人が、広告目的の Google によるプロファイリングにユーザーをさらしているかどうかが主な問題だと述べた。
reCAPTCHAがGoogleの広告事業に何らかの役割を果たしていることが判明した場合、Googleのプライバシー開示はreCAPTCHAの役割を十分にカバーできる可能性があります。Googleは、自社のgstatic.comドメインを通じて広告Cookieを設定していることを開示しています。
データCAPTCHA
しかしエドワーズ氏は、Google は reCAPTCHA がこのドメインを使用していることを十分に明確にしていないと主張している。
「ユーザーのプライバシーを重視する出版社にとっては問題だ」と彼は言う。なぜなら、ウェブサイトに reCAPTCHA を実装して、google.comクッキーを設定したことを開示しないと、カリフォルニア州消費者プライバシー法の「知る権利」要件の一部に違反するリスクがあるからだ。
エドワーズ氏は、ヨーロッパのウェブサイトはボット防御のために reCAPTCHA を使用する方法を再考する必要があると主張している。
「私の意見では、スパム対策に reCAPTCHA を使用しているヨーロッパの組織は、reCAPTCHA を同意の壁の背後に移動させる必要がある」と同氏は述べた。
「クッキーの同期を必須とするというのは無理がありgoogle.com、同期を行わない reCAPTCHA を展開することはもはや不可能と思われます。」
Google はすでに reCAPTCHA の利用規約で、「欧州連合のユーザーの場合、お客様と API クライアントは EU ユーザー同意ポリシーを遵守する必要があります。」と推奨しています。®
