【一問一答】 Chrome の SameSite Cookie の変更とは? : Cookie への新たなアプローチ

Googleは2月4日にリリースするChromeブラウザの新しいアップデートで、スピードとセキュリティを高めるさまざまな新機能を導入することを明らかにしています。そしてこれには、Cookieに対する新たなアプローチの採用も含まれています。

具体的には、SameSite Cookieのモデルの変更により、ウェブサイトの所有者は、ほかのサイトで使用可能なサードパーティCookieに明示的な属性を追加することを義務付けられるようになります。正しい属性が設定されていないCookieは、ブラウザ市場の64%を占める(スタットカウンター[Statcounter]調べ)Chromeブラウザで機能しなくなります。

いつもの「一問一答」シリーズで、ご紹介します。

──なにが変わるのでしょうか?

Googleは2019年5月、アドテク企業などのサードパーティが「SameSite=None」属性と「Secure」属性のないCookieにアクセスできないようにする変更を、Chromeのバージョン80から実施すると発表しました。「Secure」属性が必須になったことで、HTTPS接続を使わなければCookieの設定や読み取りができなくなります。

いまのところ、ChromeのSameSite Cookieには「SameSite=None」属性がデフォルトで追加されているため、サードパーティCookieを使ってユーザーを複数のサイトにまたがって追跡できます。しかし、2月からはデフォルトの属性が「SameSite=Lax」に変更されるため、ブラウザがアクセスしているサイトと同じドメインのCookie、すなわちファーストパーティCookieしかデフォルトで設定されなくなります。

「SameSite=None」属性を追加したCookieには「Secure」属性も必要になるため、Cookieの作成や送信を行うにはHTTPS経由でリクエストしなければなりません。これに対し、「SameSite=Strict」属性を指定した場合は、同じパブリッシャーが所有するドメインをまたいだCookieの利用もできなくなります。

Mozilla(モジラ)のFirefoxやマイクロソフト(Microsoft)のEdgeブラウザでも、「SameSite=Lax」属性がデフォルトで追加される予定です。

──Googleがこのようなアップデートを行う理由は?

サードパーティCookieを利用すると、ユーザーが悪意のある追跡を受けやすくなるほか、クロスサイトリクエストフォージェリと呼ばれる攻撃に対して脆弱になります。たとえば、ユーザーがメールに記載された悪質なリンクをクリックしてしまい、自分が利用している銀行のウェブサイトに不正アクセスされてしまう可能性があるのです。

「ウェブのエコシステムをより健全な場所にするため、SameSite属性が安全性の低いオプションではなく安全性の高いオプションに自動設定されない場合のデフォルトの動作を変更することにしました」とGoogleの広報担当者は述べています。

──2月の変更に備えてパブリッシャーがすべきことは?

パブリッシャーは、自社のサイトが影響を受けるかどうかテストすることができます。chrome://flagsにアクセスして、 「SameSite by default cookies」と「Cookies without SameSite must be secure」を有効にしてください。また、セキュアなHTTPSページにまだ移行していないパブリッシャーは、移行を行う必要があります。

Googleはパブリッシャーに対し、開発者ツールに表示される警告を確認し、アドテク企業やアナリティクス企業などのベンダーが、正しい属性のないサードパーティCookieをパブリッシャーのサイト上で設定または利用していないかチェックするよう促しています。

──どのようなリスクが考えられるでしょうか?

デジタルマーケティングエージェンシーのクラウド(Croud)でプランニングおよびインサイト担当ディレクターを務めるケビン・ジョイナー氏によれば、パブリッシャーのなかには、ユーザーのログインやユーザー設定の保存など、本来ならファーストパーティCookieを使うべきときにサードパーティCookieを使っているところがあるといいます。こうした傾向は、パブリッシャーが複数の異なるウェブサイトやドメインを所有している場合に見られるようです。したがって、複数のドメインでシングルサインオンを提供しているパブリッシャーは、Cookieの構成に互換性を持たせることが必要になるでしょう。

もっとも大きな問題は、Cookieに依存したオーディエンスデータベースを構築しているベンダーで発生する可能性があります。たとえばアドビ(Adobe)は、「オーディエンスマネージャ(Audience Manager)」の顧客企業に対し、パートナーが適切なタイミングで必要な変更を行わなければCookieのマッチングが減少する可能性があるとブログで警告しています

「問題は、新しい標準となるCookieが、古いCookieと互換性を持たないことです。これは、マーケティング資産が突然利用できなくなることを意味します」と、ジョイナー氏は述べています。

──これは、Cookieの終わりの始まりなのでしょうか?

そうともいえません。SameSiteのアップデートを、GoogleがCookieポリシーの全体的な強化に踏み切る前兆と捉えるべきかどうかについて、専門家の意見は分かれています。Googleには守るべき広告ビジネスがあることを考えれば、同社がAppleの「インテリジェント・トラッキング・プリベンション(Intelligent Tracking Prevention)」やFirefoxの「トラッキング保護強化(Enhanced Tracking Protection)」と同じような方向に進むかどうかは、いまのところわからないのです。

Chromeはすでに、サードパーティCookieをブロックしたり、すべてのCookieを消去したりする機能を備えています。今回のSameSiteの変更によって、ファーストパーティCookieとサードパーティCookieがより正確に区別されるようになるため、ユーザーはプライバシー設定をより細かく管理できるようになるはずです。したがって、ユーザーは自分を追跡しようとする広告用Cookieをブロックしながら、ログイン情報やユーザー設定をそのまま保持できます。

ただしGoogleは、どこかの時点でCookieのないウェブが登場することをすでに示唆しています。Googleのソフトウェアエンジニアで、Chromeのプライバシー機能や追跡防止機能に取り組んでいるマイケル・クレバー氏は、2019年11月に行われたChrome開発者会議で、Cookieから「より適切な大きさのAPI」に移行し、ウェブサイトをまたいでユーザーを自由に追跡できないようにする仕組みについて言及しました。また、FLoC(Federated Learning of Cohorts:コホートの連合学習)などの手法を用いて、Chromeで行動広告を引き続き利用できるようにする実験も行われています。

Lara O’Reilly(原文 / 訳:ガリレオ)