ブラウザ・フィンガープリントとは?
インターネットを閲覧する際、プライバシーは最大の関心事です。IPアドレスの記録、ブラウザへのクッキーの保存、HTML 5 Canvasなどです。プロキシを使ったり、ブラウザのクッキーを削除したりすることで、簡単にオンライン・アイデンティティを隠すことができます。
インターネットを閲覧する際、プライバシーは最大の関心事です。IPアドレスの記録、ブラウザへのクッキーの保存、HTML 5 Canvasなど、ウェブサイトはあなたのオンライン・アイデンティティを追跡するために様々な仕組みを採用しています。
プロキシを使ったり、ブラウザのクッキーを削除したりすることで、オンライン上の身元を簡単に隠すことができる。しかし、そもそも防ぐことが不可能な、あなたを監視する方法が他にもあることをご存知でしょうか?この記事で取り上げるそのようなテクニックの1つが、ブラウザのフィンガープリンティングであり、それを避けるためにできることです。
では、早速始めよう。
ブラウザ・フィンガープリントとは?
ウェブサイトに接続するたびに、そのサーバーはあなたを識別するためにあなたのブラウザに関する情報を収集します。明らかに、フィンガープリンティングは、受信サーバーがあなたの名前やIPアドレスによってあなたを識別することを意味しません。その代わり、あなたのブラウザやデバイスの設定情報を使用します。
一般的に、これらの設定には、ブラウザの種類とバージョン、オペレーティングシステム情報、アクティブなプラグイン、画面解像度、タイムゾーン、および後述するさまざまなヘッダー情報が含まれます。また、ブラウザは閲覧履歴に関する情報を送信することができます。
ウェブサイトはブラウザ・フィンガープリントのためにどのような情報を収集するのか?
ヘッダー
ウェブサイトに接続すると、ブラウザが受信サーバーに送信するヘッダーがいくつかあります。それらは以下の通りです:
- 接続ヘッダー - ウェブページへの接続がオープン接続かクローズ接続かを決定します。
- User-agentヘッダー - このヘッダーは、ブラウザとオペレーティングシステムに関する情報を送信します。ユーザーエージェントの詳細については、こちらをご覧ください。
- 言語ヘッダー - コンピュータシステムが使用する言語
- コンテンツエンコーディングヘッダー - コンピューターシステムが扱う圧縮タイプを列挙します。
- Acceptヘッダー-受信側のウェブサイトに、あなたのブラウザが表示するコンテンツのタイプを提供する。
- Cache-controlヘッダー - フロントエンドとバックエンドでデータをどのようにキャッシュすべきかについて、受信サーバーに指示を与える。
- Referrerヘッダー - このヘッダーは、あなたがどのウェブサイトからリンクをクリックしたかを受信側のウェブサイトに伝えます。
- Upgrade insecureヘッダー - ブラウザが暗号化された接続を要求しているかどうかの詳細を提供します。
そのため、一見したところ、上記のデータは一般的なものに見えるかもしれません。しかし、Panoptickclickによると、他のユーザーと同じフィンガープリントを共有するのは286,777分の1だけです。上記のヘッダー情報自体からわかるように、ブラウザはあなたを一意に識別するフィンガープリントを作成します。
ブラウザの追加情報
ブラウザフィンガープリントに含まれる追加ブラウザ情報の一部は以下の通り:
ブラウザのビルドID:このIDは、受信側のウェブサイトにあなたのブラウザのバージョンを知らせます。ただし、安全なブラウザを使用している場合は、この情報を隠すことができます。
クッキー:クッキーは、コンピュータネットワークに接続しているときに、お客様を一意に識別する小さなテキストデータのパケットです。クッキーの詳細については、 こちらをご覧ください。
広告設定:Do Not Track」などの広告設定は、受信側のウェブサイトにあなたの情報を追跡しないよう指示します。これをオンにすると、ブラウザは、分析会社、ウェブサイト、プラグイン・プロバイダー、およびインターネット閲覧中にアクセスしたその他のウェブサービスにお客様の情報を送信することができます。
広告ブロック:ブラウザは、広告ブロックがオンかオフかの情報を渡します。
HTML 5キャンバス画像:HTML 5でコーディングされたウェブサイトでは、canvas要素が訪問者のブラウザのフォントサイズや背景色などのデータを生成していました。
なぜウェブサイトがあなたのブラウザ指紋を収集するのか不思議に思うかもしれません。それが次のセクションのすべてです。
なぜウェブサイトはあなたのブラウザ指紋を収集するのか?
上記の情報があれば、あなたの名前や住所を知ることは不可能なので恐れる必要はありません。しかし、これらのブラウザフィンガープリントは、企業が市場の異なるセグメントに製品を広告する際に大きな価値を発揮します。結局のところ、国際的な広告主やマーケティング担当者はこれらのフィンガープリント・データが大好きで、それを手に入れるためなら何でもするでしょう。
あなたのデータに基づいて、マーケティング担当者や広告主は、例えば特定の地理的地域の潜在顧客をターゲットにすることが容易になります。フィンガープリンティングはあなたにとって不便なものですが、良い面もあります。
なぜ特定の状況下でブラウザのフィンガープリントが不可欠なのか?
さて、ブラウザフィンガープリントとそれが使用される理由についての基本的な知識を得ました。次のセクションでは特定の状況でブラウザフィンガープリントが必要な理由の概要を提供します。
オンライン金融詐欺の防止に役立つ
例えば、ブラウザフィンガープリントは、銀行口座が短期間にウェブバンキングで複数の場所/ブラウザから何度もアクセスされたかどうかを判断するのに役立つ。さらに、ハッカーがブラウザセッションをハッキングしたかどうかの判断にも役立ちます。
ハッキングされたブラウザのセッションを特定することは、ログイン情報やクレジットカード番号を盗むハッカーを追跡するのに役立つだろう。最終的には、詐欺師が何度もログインを試みてデバイスを変えれば、セキュリティ専門家は簡単に彼らを検知できる。
eコマース詐欺の防止
電子商取引のほとんどは電信送金の形で行われる。同時に、他の電子商取引は予測可能なデバイスから行われる。そのため、送金元が突然変更された場合、セキュリティ専門家は間違いなく不正を検知することができる。
ブラウザ・フィンガープリントの欠点は?
現行のプライバシー規制に違反する - ブラウザのフィンガープリントのために転送されるデータ量について、ユーザーの多くが認識していない。また、これらのデータが誰の手に渡るのかも不明です。次のセクションで発見しようとしているように、ブラウザフィンガープリントはクッキーのようにすぐには削除できません。
悪意のあるウェブサイト - 高く評価されているウェブサイトのほとんどは、製品を販売するためにブラウザフィンガープリントよりも従来のマーケティングを使用している可能性があります。そのため、ブラウザフィンガープリントを収集するウェブサイトのほとんどはスパム悪質サイトに分類されます。そのため、重要な情報が悪人の手に渡る危険性があります。
ブラウザのフィンガープリントを避けるには?
ここまでで、ブラウザがフィンガープリントに使用するデータのタイプとその長所と短所を理解していただけたと思います。さて、次はそれをどうやって阻止するかという重要な要素に飛び込む番です。さあ、飛び込みましょう。
JavaScriptを無効にする
JavaScriptは、ブラウザレベルで動作するフロントエンドのスクリプト言語です。主にユーザーエクスペリエンスの向上や、レスポンシブウェブデザインの特定のシナリオのコーディングに使用されます。 これを無効にすると、ブラウザはプラグイン、拡張機能、フォントに関する情報を送信できなくなり、ブラウザにクッキーをインストールできなくなります。
しかし、JavaScriptに大きく依存しているウェブサイトによっては、JavaScriptを無効にすることが現実的な解決策とはならない場合があります。一方、JavaScriptなしでも問題なく動作するウェブサイトもあります。しかし、ユーザーエクスペリエンスが損なわれないような、より良い解決策があります。
ブラウザの拡張機能とプラグインの管理
ブラウザの拡張機能やプラグインは、あなたのブラウジング体験にとって素晴らしい財産ですが、あなたのプライバシーを妨げることもあります。前述のように、これらはあなたを追跡することができるからです。
ブラウザの拡張機能やフィンガープリントが多ければ多いほど、ブラウザのフィンガープリントはよりユニークになります。これは、あなたが陥りたくないシナリオです。そのため、不要な拡張機能やプラグインをアンインストールする必要がある。
さらに、単にプラグインをアンインストールするだけでは、追跡されることを克服する助けにはならないことに注意する必要がある。なぜならプラグインはあなたのデバイスに残っているからだ。そこで、JavaScriptを無効化する拡張機能を使うという強化オプションがある。
VPNを利用する
バーチャル・プライベート・ネットワーク(VPN)を使用すると、あなたのデバイスとVPNとの間に安全な接続が確立されます。その後、VPNはあなたの代わりにすべてのトラフィックを転送するターゲットウェブサイトに接続します。このプロセス全体を通して、通信は暗号化されたチャネルを通過します。これにより、ハッカーがあなたのメッセージを傍受することはできませんし、あなたのIPアドレスはマスクされます。
これらの安全な手段にもかかわらず、VPNはヘッダー情報を送信するのと同様にJavaScriptを無効にすることはできません。そのため、あなたのブラウザは、方程式からIPアドレスを取り除いてユニークなフィンガープリントを作成することができます。
インコグニートモードを使用する
あなたの身元を隠すもう一つの方法は、Incognitoモードを使うことだ。ヘッダーやブラウザのプロファイルをデフォルト設定にすることで、あなたの情報を追跡することが難しくなります。
正しく動作するかどうかは、ブラウザをIncognitoモードに設定している場合、このブラウザフィンガープリントチェッカーで確認することができます。
Torブラウザを使う
Torブラウザはブラウザ情報を保存せず、クッキーを自動的に削除することをご存知ですか?さらに、Torブラウザはウェブサイト上のJavaScriptコードを積極的にブロックし、サードパーティの広告トラッキングを回避し、タイムゾーンや言語設定を無効にします。
上記の設定がなければ、あなたのブラウザのフィンガープリントを作成することは難しいでしょう。加えて、Torはフィンガープリント作成規約の中で、デフォルトではフィンガープリント作成時に全てのユーザーを「全てのユーザーと同じ」に設定すると述べています。
マルウェア対策ソフトのインストール
マルウェア対策ソフトウェアがコンピュータ上に存在することは、悪意ある行為からコンピュータを守るだけではありません。また、ブラウザのフィンガープリントを不明瞭にすることもありません。常にシステム内の最新の脅威にアップデートされていることを確認する必要があります。
ほとんどの場合、アンチマルウェアは広告、悪意のある刺激的なツールバー、バックグラウンドで動作している可能性のあるその他の悪意のあるコードやスパイウェアをブロックします。
ブラウザのフィンガープリントは、上記のソフトウェアやツールに直接リンクしています。そのため、ブラウザをクリーンな状態にし、マルウェア対策ツールで脅威を削除することが不可欠です。
ブラウザ・フィンガープリントを回避するその他のテクニック
前のセクションで、JavaScriptを無効にすれば、ブラウザが特定の情報をフィンガープリントするのを防げることがお分かりいただけたと思います。しかし、これは特にJavaScriptに大きく依存しているウェブサイトでは、ユーザーエクスペリエンスを損なうことになります。
そこで、ユーザー・エクスペリエンスを維持するために、スプーフィングと呼ばれる特殊なテクニックを使うことができる:
ユーザーエージェント・スプーフィング
ユーザーエージェント偽装とは、ブラウザが受信側のウェブサーバーに送信するユーザーエージェント文字列を偽装することです。これは最も革新的なテクニックではないかもしれないが、身元を明かしたくない場合には確かに役立つ。
ユーザーエージェントを偽装する最も効果的な方法は、ユーザーエージェントをローテーションさせることです。この方法は、静的なユーザーエージェントを使うよりも優れています。
回転するユーザーエージェントの顕著な例は、カメレオンブラウザである。
キャンバスAPIを偽装する
CanvasはHTML5のタグで、当初はウェブページにグラフィックを描くためのものだった。しかし、さまざまなブラウザによって解釈が異なります。前述したように、HTML5 Canvasは訪問者のブラウザの背景色やフォントサイズなどのデータを生成し、各訪問者に固有のフィンガープリントとして機能します。そのため、クッキーとは異なり、キャンバスのデータはコンピュータに保存されないため、削除することはできません。
従って、フィンガープリント方程式から Canvas を排除する唯一の方法は CanvasBlocker を使用することです。これは Canvas API への呼び出しをブロックします。
仮想マシン
仮想マシン(VM)を持つことは、偽のブラウザ・フィンガープリントにつながるもう一つの方法である。VMを使ってインターネットを閲覧すると、VMのブラウザ・フィンガープリントが生成される。このブラウザ・フィンガープリントは実際のブラウザとは異なる。VMの顕著な例としては、Oracle VM VirtualboxやParallel Desktopなどがある。
結論
さて、この記事ではブラウザフィンガープリントとは何か、そしてどのように回避できるのかについて包括的な概要をご紹介しました。ブラウザフィンガープリントは有害であり、状況によっては非倫理的であることにユーザーは一般的に同意していますが、それがすぐに終わる兆しはありません。
そのため、ブラウザフィンガープリント情報が悪人の手に渡るのを防ぐために、この記事で述べた方法をいくつか採用する必要があります。ブラウザフィンガープリントには長所もあるため、ニーズに合わせてバランスの取れたアプローチを選択するのがベストです。