更新: Facebook のログイン サービス (Facebook ID のみを使用して Web サイトにサインインできるツール) を介して、悪意のある人物が密かに人々の個人情報を抜き出す可能性があります。
読者は、プリンストン大学で博士号取得のためのプライバシー研究に取り組んでいる Mozilla のプライバシー エンジニアである Steven Englehardt 氏をご存知でしょう。同氏は、ブラウザー フィンガープリンティングに関する研究を通じて、分析スクリプトによるプライバシー侵害が著しく高いことを発見しました。
エングルハート氏はギュネス・アチャル氏とアルビンド・ナラヤナン氏と共同で、最新の研究で、Facebook のユーザーデータにアクセスできる可能性のある 7 つのオンライン追跡サービスを詳細に説明した。
ネットユーザーにとって、Facebookログインは一見便利そうに見えます。Facebookのユーザー名とパスワードだけで、複数のサイトやアプリにログインできるからです。しかし、この方法でログインすると、ページ上で実行されるJavaScriptコードがFacebookプロフィールの一部を取得できてしまうことが判明しました。これはサードパーティのトラッキングツールにとって便利な情報です。
「ユーザーがウェブサイトにソーシャルメディアプロフィールへのアクセスを許可すると、そのウェブサイトを信頼するだけでなく、そのサイトに埋め込まれている第三者も信頼することになります」とエングルバード氏は説明した。
これらのサードパーティ トラッカーは、Facebook ログイン経由でアクセスされる Web ページに埋め込まれると、Facebook のユーザー ID、電子メール アドレス、名前、その他のプロフィール情報 (場合によっては性別も含む) を取得する可能性があります。
「ファーストパーティのFacebookアクセスを利用してFacebookユーザーのデータを収集するスクリプトを7つ発見しました」とエングルバード氏は記している。幸いなことに、この行為はまだ広く蔓延していない。ウェブトラッキング業者が提供したスクリプトは、Alexaの上位100万ウェブサイトのうち、「fiverr.com」、「bhphotovideo.com」、「mongodb.com」など434ウェブサイトでのみ発見された。
エングルハート氏は「簡単すぎる」と語る。ちょっとしたJavaScriptでFacebookのログインデータを盗み出すことができる
以下の表は、Englehardt のチームが特定したいくつかのデータ収集サービスを示しています。
| 会社 | スクリプトアドレス | 収集されたデータ |
|---|---|---|
| オンオーディエンス | http://api.behavioralengine.com/scripts/be-init.js | ユーザーID(ハッシュ化)、メールアドレス(ハッシュ化)、性別 |
| 占い師 | https://cdn.augur.io/augur.min.js | メールアドレス、ユーザー名 |
| リティクス | https://c.lytics.io/static/io.min.js (OpenTag 経由で読み込み) | ユーザーID |
| ntvk1.ru | https://p1.ntvk1.ru/nv.js | ユーザーID |
| プロPS | http://st-a.props.id/ai.js | ユーザーID(さらに収集するためのコードがあります) |
| ティーリアム | http://tags.tiqcdn.com/utag/ipc/[*]/prod/utag.js | ユーザーID |
| フォルター | https://cdn4.forter.com/script.js?sn=[*] | ユーザーID |
エングルドハート氏は、ブラウザの自動入力機能を悪用していると警告したところ、OnAudience はデータ収集を停止したと指摘した。
エンゲルドハート氏が発見した2番目のタイプのトラッカーは、HTML iframeを悪用したもので、Facebookログインを使用してウェブサイトにアクセスするユーザーを広告コードで監視できるものだった。
エングルハート氏は、この種のサードパーティによるデータ収集はFacebook側のバグとみなされるべきではないと強調したが、4年前に「匿名ログイン」を発表したので、ソーシャルネットワーク™がその機能を実装する時期が来ているのかもしれないと述べた。
彼はこう書いています。「サードパーティのスクリプトが Facebook API からデータを取得するのは簡単です。」®
追加更新
注目すべきは、Tealium と Forter について、Englehardt 氏らは次のように述べている。「[Tealium と Forter の] スクリプトが Facebook API を照会し、ユーザーの Facebook ID を保存していることを確認していますが、コードの難読化と当社の測定方法のいくつかの制限により、その ID がサーバーに送信されているかどうかを確認できませんでした。」
言い換えれば、ユーザーIDはウェブページに含まれるJavaScriptによってFacebookのAPI経由で取得されるが、3人は取得したアカウントIDがさらなる処理と保管のために追跡ビジネスに常に送信されるかどうか確信が持てなかった。
Tealiumの最高マーケティング責任者であるアダム・コーリー氏は、「当社はFacebook IDを独自に収集することは一切ありません」と強調し、顧客のウェブページから同社のサーバーにネットユーザーのユーザーIDが送信された場合、それはそのページの開発者の決定であると述べた。また、識別データはハッシュ関数を用いて一方向暗号化できるとのことだ。
「お客様が当社のJavaScriptコードコンテナを使って独自に構築した追跡機能の一環としてFacebook IDを当社に提供する場合、当社はそれを受け入れます」とコーリー氏は述べた。「当社のベストプラクティスは、データを収集する前に、ツールセットの一部として提供している一方向ハッシュアルゴリズムを使用して暗号化することです。」
ただし、当社は顧客ネットワーク全体でいかなる種類のデータも共有しておらず、エンドユーザーを特定し、Facebookの識別子と連携して関連付けることができるような、訪問者の集中データベースも保有していません。お客様に代わってファーストパーティで収集されたデータは、お客様のデータストアに隔離されており、他のTealiumのお客様には公開されません。
エングルハート氏はまた、ウェブページにトラッカーの JavaScript コードが存在するだけでは、必ずしも Facebook から情報が抜き出されているわけではないことも指摘している。
次に、OnAudience の広報担当者は、同社の情報収集コードが廃止されたことを確認した。
担当者は、OnAudienceは匿名化されたデータのみを処理し、Facebookのデータは収集していないと説明し、次のように付け加えました。「OnAudience.comプラットフォームへのデータの送信は、GET.pixelリクエストのみで可能です。この方法は、設計上、高いデータセキュリティを実現します。これはデジタルマーケティング業界の技術標準でもあります。OnAudience.comは、データ収集を可能にするJavaScriptを一切配信していません(配信したこともありません)。」
広報担当者は、OnAudienceは個人記録を匿名化するだけでなく、「Do Not Track」フラグを尊重し、ユーザー向けのオプトアウトメカニズムを備え、GDPR準拠の準備を整えていると述べた。®
