このところの報道でネット通販など国内の消費者向けサイトを運営する主要100社のうちで5割が具体的な提供先を明示せずに外部とデータを共有していることが判ったとする記事が出ています。
タイトルを読んだ時点では、購買履歴などの情報を意図的に他社に提供しているのかと思ったのですが、実際はクッキーと呼ばれる閲覧履歴データや端末情報のやりとりをしたデータが共有されているとのことでした。この情報の使われ方次第では氏名や住所、収入などを特定されかねないとされています。
クッキーとは
クッキーとは利用者のWebブラウザと通販サイトなどのWebサーバーとの間で特定のやりとりををするファイルであり、HTTPヘッダーに含まれている識別子です。利用者のコンピューターにクッキーが保存されることにより、次回以降、クッキーを発行したサイトを訪れた際に前回のページが表示できる、再度ログインをする必要なく、ログインされた状態でページを閲覧できるなど何らかの利便性向上につながります。
他にもネット通販サイトで何かの商品を買い物かごに入れたあと、そのサイトを離れて、再度、元のネット通販サイトに戻った際に買い物かごの中にはいっていた商品がきちんと元のまま入っていることがあります。そのサイトにログインしていればこのような制御ができることは理解できるのですが、ログインしていなくてもこのような状態を再現してくれるのはクッキーが自分のパソコンに保存されていたためです。
このように色々なサイトを見て回るうちに、自分のパソコンには様々なクッキー情報が蓄積されていきます。
セキュリティ面の脅威
トラッキングクッキー
このクッキーはWebサイトだけではなく画像にも設定することができるので、バナー広告を使ってユーザーのアクセス履歴を追うことができます。これをトラッキングクッキーと呼ぶそうです。一部ではプライバシーの侵害だとする意見があります。
例えば、ゴルフのクラブが欲しくて、ゴルフショップのホームページを開いた後、まったく違った新聞社のホームページに行くと、ゴルフに関する広告が表示されている場合があります。ターゲティング広告と呼ばれますが、クッキーを使うことでこのような制御をすることができるようになります。
セッションハイジャック
クッキーの識別子が漏れると、サイトのセッションIDとともにログイン情報が含まれているような場合、たとえSSLによる暗号化が行われていたとしてもセッションIDを使ってサーバーに送ることで第三者がログイン状態が再現されてしまう危険性がありまうs。
共用パソコンでの脅威
ネットカフェ等で利用されているパソコンでサイトにログインをすると、そのログイン情報がパソコン内にクッキーとして保存されて、別の人が同じサイトにアクセスした際に不正な形でログインできてしまう場合があり得ます。共用パソコンによってはクッキーを残さないようにして、不正利用を防ぐように対処されているものもありますが、共用パソコンを利用する場合は細心の注意が必要になります。
クッキーの取り扱い
今後、クッキーの取り扱いについてはガイドライン等が整備されるのではないかと思います。また、消費者を危険にさらさないようにするための実装上のルールも明確にされるものと思います。
このサイトでは
このブログでは基本は管理者がログインしてページを更新するのにとどめているのですが、各種広告、Faceboookの「いいね」ボタンなどではクッキーの生成が行われています。これらは色々なブログで導入されている基本的な仕組みではあるのですが、ガイドラインの整備が進む状況を見て、そのガイドラインに従ってどのようなクッキーが何の目的で生成されることは明示したいと思っています。
コメント