ブラウザーフィンガープリントの脅威について

2023.06.09

巨大ITのプライバシー侵害から身を守る

彼らは、あなたの行動を把握し、あなたという人物を特定しようとします。この理由は二つあります。

  • あなた好みの広告を表示することにより、より儲けるため
  • あなたという個人を監視するため

後者には異論のある人もいるかもしれませんが、ともあれ、あなたという個人の行動を徹底的に監視することが、彼らにとって得になるわけです。

特に、スマートフォンではGoogle/Appleがこの情報を取得していることが事実ですが、スマフォでもパソコンでも同様に、何も考えなければ、これら巨大ITに限らず、他の企業もあなたを特定して行動や好みを把握しようとします。

これを回避するために必要なことは、おおよそ以下です。

  • スマフォはノーシープフォンに変更する
  • パソコンはWindowsやMacをやめてLinuxにする
  • VPNを使用する
  • 未だに例えばGmail等が必要であれば、それを利用するブラウザは普段使いのものとは別にし、普段使いのブラウザでは、巨大ITのクッキーを拒否し、絶対にログインしない
  • Googleやfacebook、マイクロソフト製のアプリは使わない

さて、これらに加え、ブラウザーフィンガープリントの脅威があります。

ブラウザーフィンガープリントとは?

結論から言えば、これはそれほど気にする必要はありません。この言葉を検索してIT関係の記事を見ると、脅威を煽る記事ばかりなのですが、どの程度これが行われているのか、どの程度問題なのか、いつも通りに統計的な根拠は一切ありません。

また、このブラウザーフィンガープリント単体では、あなたという人物の特定はできません。単に、あちこちのウェブサイトを閲覧し、あるときBサイトに行くと、「こいつは以前にAサイトにも来ていて、××を見た」程度の情報がわかるだけです。

以下にブラウザーフィンガープリントの仕組みを簡単に説明します。

  • あなたが、Aサイトを見に行きます。Aサイトからは、そのデータが返されてきて、あなたのブラウザでそれが表示されます。ここまではいいですね?
  • この時に、Aサイトからあなたのブラウザに渡されるのは、内容のデータだけではなく、ブラウザ側で実行されるプログラムもあるんです。
  • このプログラムは、あなたのブラウザの中で無断で勝手に動作して、様々なことをします。つまり、Aサイトから知らないあいだにやってきたプログラムが、あなたのブラウザの中で勝手なことをするわけです。
  • これは困ると思うかもしれません。設定でこれを完全にやめさせることもできるんですが、やめさせてしまうと、今度は様々な機能が動作しなくなります。現代のウェブサイトは、ブラウザ側でプログラムを動作させることを前提としたものが多いため、完全に停止するのは非現実的です。
  • ともあれ、勝手なプログラムが勝手に動きますが、このプログラム(悪いやつのもの)が、ブラウザの種類、OSの種類、CPUコア数、メモリ容量、言語設定などの情報を収集します。これらは可能な限りあらゆる情報なので、世界人口の中の単一の人物と特定できる可能性があります。
  • 実際には、取得した様々な情報を混ぜ合わせて小さな数字列にして、それをAサイトに返します。つまり、大きなデータ全体ではなく、フィンガープリント(指紋)を取得するわけです。
  • さて、Aサイトを見に行った後で、Bサイトを見に行くと、そこでも同じことが行われます。すると、「こいつはたぶん、以前にAサイトを見に来たやつだ」と特定できるわけです。

再度ですが、この動作は、JavaScriptプログラムの実行を禁止してしまえばできなくなりますが、この対策は現実的ではありません。現代のウェブサイトは、おおよそJavaScriptプログラムの動作に依存しているからです。

 

どの程度の脅威なのか?

しかし、良く考えてみると、この仕組みはおそらくGoogle等の巨大ITは利用していません。

例えば、Googleのサイトにこんな仕掛けがされているとします。これを閲覧すると、Google製のプログラムがこちらにやってきて、勝手に動作します。そのプログラムの中にブラウザーフィンガープリントを取得するようなものがあれば、確実にすぐにバレるでしょう。

こんな仕掛けをするのは、「立派な」IT会社ではなく、おそらくは、アンダーグラウンドなところが多いのではと想像します。したがって、健全な利用者にとっては、ほぼ脅威ではないと予測します。

 

それでも絶対に避けたい場合は?

JavaScriptの実行を禁止するのは、現実的ではないと書きました。それでは、どう避けるべきでしょうか?

実は、ブラウザ側にこの回避機能が備わった物もあります。

それをテストするには、お好みのブラウザで、https://coveryourtracks.eff.org にアクセスします。「TEST YOUR BROWSER」ボタンを押してしばらく待つと結果が表示されます。

その結果として、駄目な例は以下です。常に同じフィンガープリントなので、特定されてしまいます。

良好な例は以下です。フィンガープリントがランダムなので、特定できません。

現在のところ、私の試したブラウザの中では、回避機能があるのは、Braveだけでした。これは、Linux版とAndroid版でも同じ結果になりました。

上記以外の情報としては、Browser fingerprinting: what it is and how to protect yourselfをみてください。

追加:Mullvad Browserというのを教えてもらいました。MullvadのVPNは以前に使っていたんですが、ブラウザまで出しているとは知らなかった。これもまた、ユニークでないフィンガープリントになり、OKです。その他にもプライバシー保護のための機能がたっぷりあるようです。