supercookie

提供: セキュリティ
2014年12月7日 (日) 13:41時点におけるDaemon (トーク | 投稿記録)による版 (ページの作成:「supercookie(スーパークッキー) とは、Webの世界で、ユーザをトラッキングするための仕組みです。supercookieは、HTTP cookie...」)

(差分) ←前の版 | 最新版 (差分) | 次の版→ (差分)
移動: 案内検索
スポンサーリンク

supercookie(スーパークッキー) とは、Webの世界で、ユーザをトラッキングするための仕組みです。supercookieは、HTTP cookieよりも強力にユーザをトラッキングできます。HTTP cookieよりもしつこく、cookieよりも削除しにくいのが特徴です。

読み方

supercookie
すーぱーくっきー

概要

HTTP cookieを使用したユーザの追跡が長年行われてきました。ユーザのアクセスの追跡で用いられるcookieは、トラッキングcookieと呼ばれます。

HTTP cookieでは、ブラウザごとにしか、ユーザをトラッキングできません。ブラウザのcookie削除機能で用意にデータが消えてしまいます。また、cookieは、十分なデータを保存できません。

supercookieは、ブラウザを横断することができ、より多くのデータを保存でき、データの削除が容易ではありない、といった利点があります。このメリットは、主に「ユーザをトラッキングしたい事業者」が享受すると考えることができます。

supercookieを実現する技術

supercookieを実現する方法は、ブラウザの機能ではなく、Adobe FlashMicrosoft Silverlight のプラグインの機能を使用します。

Adobe Flashには、ローカル共有オブジェクト(Local Shared Object, LSO, Flash cookie)と呼ばれるローカルストレージの機能があります。Flashのローカルストレージは、ウェブブラウザのデータストアとは、独立しているため、ウェブブラウザのCookieや履歴の削除では、削除されません。

supercookieの場合、ユーザが使用するウェブブラウザを切り替えても、追跡できます。それは、supercookieの保存先がブラウザのデータストアと独立しているからです。

supercookieは、HTTP cookieではないため、cookieの4KBというデータサイズの制限を受けません。最大で100KBのデータを保存できます。

トラッキングcookieを復活させ、ゾンビcookieへ

ブラウザのcookieの削除機能を使用されて、トラッキング cookieが削除されても、事前にsupercookieに保存しておいたcookieを読み出し、再び、同じ cookie を設定することで、cookie を復活させ、同一のユーザとして、トラッキングを可能とします。

事例として、マイクロソフトが運営している live.com では、ブラウザの cookie を削除した後に、特定の cookie が復活したという事象が確認されています。この事例では、supercookieが用いられていました。

従来のHTTP cookieとsupercookieの違い

HTTP cookie と supercookie の違い
比較項目 HTTP cookie supercookie
削除の容易さ 簡単 難しい
サイズ 4kb 100kb
ブラウザの切り替え 追跡不能 追跡可能
プラグインが必要か? 不要 必要

トラッキングの手段

ユーザをトラッキングする手段は、HTTP cookiesupercookieだけではありません。

  • HTTP cookie
  • supercookie
  • キャッシュ用途に用いられる HTTP の ETag
  • HTML5の機能
  • 画像のRGBの値

サードパーティドメインで cookieを同期する cookie sync

サードパーティドメインのcookieを同期する手段として、URLのパラメータにcookieの値をのせることで、複数のドメインに対して、同じcookieを知っていできます。

supercookie を削除する方法

  • Adobe Flashの設定から削除する
  • Firefox ならアドオン BetterPrivacy を使用する
  • システムを掃除するためのツール CCleaner などを使用する

supercookie への対策

  • Global Privacy Settings panelでプライバシー設定をする
  • Flashのグループポリシー機能を拡張する製品を利用する

関連項目




スポンサーリンク