デバイスフィンガープリンティングとは？日経記事解説

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年12月24日 
• タイトル： デバイス フィンガープリンティングとは。日経新聞との共同調査を読み解く
• 発表者：データサイン プロダクトマネージャー 坂本一仁

フィンガープリンティングにはどんな種類があるの？

2020年12月19日、日本経済新聞に「閲覧情報ひそかに追跡 国内100社 消費者向けサイト2割」と題する記事が掲載されました。日本経済新聞とデータサインが共同で、ネット通販など消費者向けサービスを提供する主要100社のサイトを解析したところ、約2割のサイトで、アクセスしてきたユーザーのブラウザを一意に識別するフィンガープリンティング技術が用いられていました。記事では、サイト運営者もユーザーも気づかないうちに、ユーザーのサイト閲覧履歴情報などが第三者に把握され、追跡されている可能性が指摘されています。こちらの共同調査に関わったデータサイン プロダクトマネージャー 坂本一仁が、調査対象とした追跡技術について解説しました。

フランスの国立研究機関が運営するサイト「AmIUnique」にアクセスしてみると、あなたのブラウザは300万あるフィンガープリントの中で一意に識別されています、といった主旨のメッセージが表示されます。その画面を下にスクロールするとサイトが収集するさまざまな属性情報がご覧になれます。OSやブラウザの種類、バージョン、タイムゾーン、フォント、スクリーンサイズなどの属性は単独ではブラウザを一意に識別できないものの組み合わされると、『このブラウザを使うあなたは、このサイトに前回アクセスしてきた人だ』と判別できるカラクリです。

「PCやスマホ上で、Chromeだけでなく、Firefoxなど異なるブラウザを利用している場合、ブラウザを見ているユーザーが同じ人かどうかを単純にはサイト側から識別することはできません。しかし、CPUのコア数、ディスクの空き容量、画面サイズ比といったデバイスの属性を収集することで、ブラウザの違いに左右されない識別が可能になります。この手法は、デバイスフィンガープリンティング（クロスブラウザフィンガープリンティング）と呼ばれます」（坂本）

さらに、ルーターなどのネットワーク機器から発信されるグローバルIPアドレスや、閲覧行為の類似度、またデバイスにインストールされたアプリの類似度などを手がかりにデバイスの違いをまたいだ一意の識別も可能になります。こちらの手法は、クロスデバイスフィンガープリンティングと呼ばれます。

HTMLの<canvas>要素を用いたフィンガープリンティング手法を調査

データサインが日本経済新聞との共同調査で対象にしたのは、ブラウザに図形やアニメーション、文字などを描画する、HTML5のCanvas要素やJavaScriptを用いるキャンバスフィンガープリンティングと呼ばれる手法でした。

「これはブラウザフィンガープリンティングの一種で、比較的古くから知られる技術です。HTML5で描画される画像には、OSやブラウザの種類によってわずかな差異が生じます。オリジナル画像と各環境によって生成される画像の差異を特徴点に用いることで確率的にブラウザの一意性を判定します」（坂本）

調査ではトップページでキャンバスフィンガープリンティングを実行しているサイトを特定し、どのようなJavaScriptがどこの外部サービスから呼び出されているのかを、OpenWPMというオープンソースのクローラーと、データサインのwebtruを用いて調べました。

不正アクセス検知などに用いるときはプライバシーポリシーに明記を

フィンガープリンティングは今回の記事にもあるように、不正アクセス防止や、サイト表示の改善などユーザーの利便性向上のためにも利用されています。

「いつもとは異なるブラウザやデバイスからアクセスしているなど、不審なアクションを追跡するためにフィンガープリンティングを利用することがあります。フィンガープリンティングは、Cookieと異なり、ユーザーが気づきにくく、その適用を拒否することが簡単ではありません。これは、街角に設置された監視カメラによる撮影と似たプライバシー問題に通じるところがあります。ユーザーに知らせず、密かに監視するのではなく、最近公開されたプライバシーポリシーの国際標準規格であるISO/IEC29184でも言及されているように、どのようなデータをどのようなタイミングおよび場所で収集・監視しているかをプライバシーポリシーで明示することが望ましいでしょう。『このサイトでは不正アクセス検知のためにフィンガープリンティングを利用しています』というように、プライバシーの観点で情報開示を進めるサイトの方がユーザーの信頼を得られると考えます」（坂本）

一方、サイトを運営する事業者も知らなかった、ではすまないかもしれません。現在、日本の法律ではフィンガープリンティングに対する規制は明示されていませんが、欧米など法規制を視野に入れた適切な対応が求められます。

「たとえば、広告代理店にサイトの改善やレポート提供を委託した事業者のサイトでフィンガープリンティングが利用されていることは少なくありません。委託元である事業者は広告効果だけでなく、『どのような第三者のサービスが自社のサイトに導入されるのか』を、データコントローラーとしての責任から委託先である広告代理店に確認することが重要です」と坂本は指摘しました。

グローバルに見るとフィンガープリンティングは、アクセス数上位1万にランキングされるサイトの約4分の1で実施されていると報告されています。

データサインでは、自社サイト調査の一環として、フィンガープリンティング調査も行っています。自社サイトで何が起こっているのか正確に把握したいという方はご相談ください。