【一問一答】リダイレクトトラッキングとは?:リダイレクトを利用して、ユーザーをトラッキングする仕組み

ネット上でのユーザー追跡を、ウェブブラウザが厳しく制限する状況が続いています。先日はMozilla(モジラ)のFirefoxブラウザが、サイトからサイトへ移動するユーザーを識別する、リダイレクトトラッキングと呼ばれる方法をブロックすると発表しました。

オンライン上でユーザーを追跡する手法としては、比較的目立たないものだったのが、リダイレクトトラッキングです。ネット広告市場がサードパーティCookieに代わる識別子を見つけなければと焦るなか、今後も持続的に活用可能な新しい識別子とまではならなくとも、暫定的な代替手段としてなら機能するのではないかと目されていました。また、サードパーティCookieに代わるものとなる可能性があるといわれていたデバイスフィンガープリンティングも、多くの人が予想していたとおり、各社ブラウザから目を付けられてしまいました。

Mozillaの広報担当者は「トラッカーがリダイレクトを利用して、サードパーティCookieのブロックを回避しているのは把握していたため、リダイレクトトラッキングからユーザーを守る取り組みを進めることにした」と語っています。今回は、このリダイレクトトラッキングについて、いつもの「一問一答」シリーズで解説します。

──リダイレクトトラッキングとは何か?

ユーザーによる、サイトからサイトへの移動が発生するタイミングを活用し、トラッキングを行う手法です。あるユーザーが、サイトAのリンクをクリックしてサイトBにアクセスする時、サイトXにリダイレクトされてからサイトBに移動となります。このリダイレクト時に、サイトXがユーザーのブラウザにファーストパーティCookieをドロップし、他サイト間の移動を追跡できるようにする仕組みです。

──アクセスするつもりのないサイトに飛ばされて、ユーザーは気づかないのか?

リダイレクトはミリ秒以内に発生することがほとんどなので、気づかれることはほぼありません。先ほどの例でいえば、サイトXには、目指す先のサイトBに移動する前にリダイレクトされるため、サイトXが実際にユーザーのスクリーンに表示される必要はないのです。

──なぜ企業はリダイレクトを利用してユーザーを追跡するのでしょうか?

サードパーティCookieの廃止が決まり、ネット広告業界は代わりとなる識別子を見つけようとしています。そのあいだ企業は、ネット上でユーザーを追跡する方法を考え出さねばなりません。しかしデバイスフィンガープリンティングといったほかの手法も、ユーザーのプライバシーを侵害しているとして封じ込められようとしています。ファーストパーティCookieは、ユーザーの追跡方法としてはもっとも確実な方法のひとつですが、ユーザーのブラウザにファーストパーティCookieをドロップするためには、サイトにアクセスしてもらう必要があります。これが、アドテク企業の多くが抱えている課題です。というのも、アドテク企業のサイトを意図的に訪れるユーザーはほとんどいません。リダイレクトという技術を使って、アドテク企業のサイトを「訪問」してもらうのは、この課題を回避するための方法なのです。

──リダイレクトトラッキングはどの程度広がっているのか?

7月に開催されたプライバシー強化技術シンポジウム(Privacy Enhancing Technologies Symposium)で、あるコンピューター研究者のグループが発表した研究論文では、トラフィック分析企業のアレクサ(Alexa)によるランキングの上位5万に入るサイト間で、リダイレクトトラッキングが行われているかの分析結果が示されました。研究結果によれば、分析対象となったサイトのうち「11.6%は、サードパーティCookieが無効になっていても、ブロックされていないファーストパーティCookieをユーザーのブラウザに保存できる、リダイレクタ(Webブラウザで入力したURLを、別のWebページに接続するソフトウェア)上位100種のどれかを使用している」ことが判明しています。また、リダイレクト先ドメインの上位ふたつは、Googleのダブルクリック(DoubleClick:現在はリブランディングされ名称が変わっている)とFacebookだったとのことです。

──Firefox以外のブラウザもリダイレクトトラッキングをブロックしている?

AppleのSafariブラウザに搭載されているアンチトラッキング機能、インテリジェント・トラッキング・プリベンション(Intelligent Tracking Prevention)は、2018年にリダイレクトトラッキングのブロックを開始しています。しかし、Webトラフィック分析サービスを提供する、スタットカウンター(Statcounter)の調査によると、世界のブラウザ市場で66%のシェアを占めているとされるGoogleのChromeブラウザは、リダイレクトトラッキングをブロックしていません。Googleの広報担当者によれば、Chromeは引き続きSameSite cookieをサポートしているため、リダイレクトトラッキング対策は必要がなく、サードパーティCookieのサポートを段階的に廃止していくなかで、新たなトラッキング方法への対策を盛り込んでいく、とうことです。

──ブラウザはどうやってリダイレクトトラッキングをブロックしている?

方法はさまざまですが、Safariはかなり強気のようです。再び先ほどの例に当てはめるとすれば、Safariは、サイトXがリダイレクトトラッキングの仲介ページとしてのみ機能していると判断すると、ファーストパーティCookieなど、あとからユーザーを追跡するためにサイトXがブラウザに保存しようとするデータをすべて消去してしまいます。

一方、Firefoxのアプローチはそこまで厳しくはありません。リダイレクトトラッキング防止機能について発表したMozillaブログの記事によれば、サイトXが保存したデータをすぐに消去するのではなく、リダイレクトが発生してから24時間は、ブラウザにファーストパーティCookieを維持しておけるとのことです。また、リダイレクトとは関係なく、ユーザーがサイトXに直接アクセスした場合(サイトXが検索エンジンやSNSで、広告ビジネスも展開しており、そのためネット上のユーザーを追跡している場合など)は、ファーストパーティCookieをそのユーザーのブラウザに45日間維持することを認めるそうです。

──なぜFirefoxは24時間の維持を認めるのか?

リダイレクトトラッキングは、ネット上でユーザーをしつこく追跡して回るためだけに使われているのではないという認識のようです。リダイレクトトラッキングを完全にブロックしてしまうと、ほかの正当な用途、たとえばニュースレターに掲載した、サードパーティサイトへのリンクがクリックされたかを測定するような場合に、うまく機能しないという事態が起こり得るというわけです。

[原文: WTF is redirect tracking?

TIM PETERSON(翻訳:半井明里/ガリレオ、編集:村上莞)