mobilephones
記事

消せない「ゾンビcookie」発見される。ベライゾンユーザは逃げられない?

沿って mobilephones 21/09/2022 579 ビュー

ターゲティング広告のためのcookieによる追跡。もし絶対にオプトアウトできないとしたら…。

少し前、アメリカの携帯キャリア・ベライゾンが顧客の行動を追跡するために、スマートフォンやタブレットからの通信にコードを埋め込んでいることが話題になりました。Unique Identifier Header(UIDH)と名づけられたこのコードは、ベライゾンの無線ネットワークからウェブサイトへアクセスした際にヘッダに埋め込まれ、ユーザの端末やトラフィックを把握するために用いられています。…何のために? あなたのスマホにぴったりな広告を表示するためです。言い換えると、ベライゾンが広告業者にあなたの情報を売るためです。このコード、プライバシー侵害の恐れがあるのではと激しい議論が巻き起こっています。

昨年、ベライゾンとAT&Tが顧客の閲覧したウェブサイトや、使用したアプリを追跡する意向がある、と報じられたとき、多くの反発する声があがりました。追跡されるだけでなく、オプトアウトしても追跡を逃れられない、というところも非難の的に。激しい批判を受けて、11月にはAT&Tが顧客を特定するコードの使用をやめましたが、ベライゾンは「サイトや広告が個人を特定するものにはなりえない」として、引き続きUIDHを使用しています。

オンライン広告を手がけるTurn社の「ゾンビcookie」はこんな議論が繰り広げられている中、登場したわけです。Turnはユーザにcookieを消させないために、ベライゾンのUIDHを用いています。

さて問題のゾンビcookie、その動作はスタンフォード大学の研究者Jonathan Mayer氏によって明らかにされ、ProPublicaの検証で確認がとれました。ちなみにTurnとベライゾンはマーケティングパートナーシップを結んでおり、ベライゾン顧客の匿名化された情報はTurnに提供されています。さらに両社のつながりを挙げると、2014年4月にニューヨークで行われたTurnのイベント、「Bringing Sexy Back to Measurement」にもベライゾンは協賛していました。

消せない「ゾンビcookie」発見される。ベライゾンユーザは逃げられない?

「デジタルハブ」を自称するTurnは、オンライン広告の巨大なバックエンドです。Turnの追跡コードが埋め込まれたユーザがあるウェブサイトに到達したとき、Turnのシステムがそのユーザをターゲットとする広告出稿料の「オークション」を数ミリ秒で行ないます。そして、一番高い金額が設定されている広告がユーザの画面に表示されるというわけです。Turnによると、オンライン広告表示のためのリクエストは1秒間に200万件にのぼるとのことです。

オークションをうまく機能させるために、Turnはユーザをcookieで特定しています。Turnお手製の追跡cookieは、ユーザのウェブ閲覧の傾向からスポーツやショッピングなどユーザの嗜好を分析することで、多くの広告主をオークションに参加させようとしています。

さて、こういうcookieを無効化、もしくは消したいというユーザもいるでしょう。しかし、Turnは消えてもその追跡をやめることはありません。「cookieを消せば追跡されないと考えている人もいるでしょうが、それは厳密には正しくありません」と話したのは、Turnのプロダクトマネージメント担当上級副社長のJoshua Koran氏です。Turnのcookieを無効化するには、Turnのオプトアウト用cookieをインストールする必要があるとのことです。cookieを無効化するためのcookie…ですって? さらにこのcookie、Turnに自分に関する情報を収集されるのを防ぐためのものではなく、Turnがターゲティング広告を表示することを防ぐためのものなのです。

ProPublicaが行った検証によると、ベライゾンユーザがTurnのオプトアウトcookieをインストールした場合でも、追跡cookieは引き続き動作していることがわかりました。最初、Turnの担当者は、このcookieの動作はユーザのためだと説明していました。ユーザが誤ってオプトアウトcookieを消してしまった場合に備え、確実にオプトアウトするためにベライゾンのUIDHを用いている、ということです。

しかし実際に試してみると、オプトアウトしたようには見えません。Turnはその状態をバグであり、すでに修復されたものだと説明しましたが、再度検証したところ、やはり直っているようには見えませんでした。やっぱり消えないcookie…ゾンビだ!

このTurnによるUIDHの使用についてベライゾンの広報にコメントを求めたところ、「提供された情報を確認しているところで、適切な方法を検証していきます」とのことでしたが、Turnのプライバシー担当責任者のMax Ochoa氏いわく、UIDHの使用についてベライゾンと議論を行った際、ベライゾンは「非常に満足していた」そうで…。今、ベライゾンは一生懸命、言い訳を考えているところかもしれません。

「ユーザの選択を尊重すること、それは我々が強く望んでいることです」とTurnのプライバシー担当責任者のOchoa氏は語っています。…うーん、何があってもオプトアウトさせない、という尊重の仕方もあるんですかねえ?

Julia Angwin and Mike Tigas – ProPublica – Gizmodo US[原文]

(conejo)

関連記事

OPPOラボ OPPO Reno A、マイナンバーカードに対応できないことが確定

回線契約をしていないユーザーにスマホを販売するドコモの戦略