サードパーティ・クッキーの問題点について解説
個人情報保護の観点から、Googleではサードパーティ・クッキーを2025年に廃止するとアナウンスしています。これまでもサードパーティ・クッキーの廃止が多々取り沙汰されていましたが、2024年4月に3度目の延期となりました。延期を繰り返しても廃止する姿勢を示すGoogle。なぜここまでサードパーティ・クッキーにこだわるのか、問題点を解説していきましょう。
サードパーティ・クッキーの問題点とは?
これまで多くの企業HPなどで活用されてきたサードパーティ・クッキー。ドメインを跨いでユーザーをトラッキングできるため、多くのサイトに支持されてきましたが、問題視されるようになりました。では、具体的にどのような問題点があるのでしょうか。
個人情報・プライバシー
サードパーティ・クッキーは、利用者が意図していない第三者に対して個人情報を与えてしまいます。サイトにアクセスした際にクッキーが発行されますが、サードパーティ・クッキーはアクセスしたサイトに広告などを出稿している第三者までクッキーを取得できてしまいます。そのため、アクセス者本人のあずかり知らないところで勝手に個人情報を入手することが可能です。
すべての業者が個人情報を正しく運用するとは限りません。サードパーティ・クッキーから個人情報を悪用され、トラブルに発展するリスクがあります。「知らないところで勝手に取得された個人情報を悪用される」点が、サードパーティ・クッキーの1つ目の問題点です。
セキュリティ
サードパーティ・クッキーはセキュリティ上のリスクもあり、予期せぬトラブル・アクシデントを招くことも問題点として指摘されています。そこで、セキュリティ上の懸念をいくつか紹介します。
クロスサイトリクエストフォージェリ
クッキーは、リクエストを送信したユーザーの信頼性を識別できません。この特徴を利用し、悪意のある第三者がCSFR攻撃(クロスサイトリクエストフォージェリ)を行っています。具体的には信頼できるサイトから悪質・不正なクッキーをユーザーが使用しているブラウザに紛れこませ、そのユーザーが訪れたサイトでファイル削除など、悪意のあるアクションを引き起こします。
クロスサイトスクリプティング
悪意のある第三者に侵入されてしまったサイトは、攻撃されただけではなく、XSS攻撃(クロスサイトスクリプティング)のプラットフォームとして利用されます。悪意のあるJava scriptやHTMLを掲載することで、ユーザーのあずかり知らないところでクッキーやデーターを要求。クッキーにログイン情報が含まれている場合、ログイン情報が漏洩します。
セッションクッキー
クッキーはサイトのログイン状態を維持するためによく使われます。これをセッションクッキーと言います。これにより、ログインID・パスワードを一度入力するだけで、ブラウザが開いている間はログイン状態を保てますが、この機能を悪用されることで、ログイン情報の乗っ取りが可能です。特に通販サイトのように、クレジットカード情報等も紐づいている場合、ユーザーの経済的な損失を招くことになりかねません。
クッキーの侵入
多くのクッキーはパス・ドメイン名と関連付けられていますが、決してすべてのクッキーがそうではありません。サイトが複数のクッキーを検出するとその中からランダムで1つ選ばれてしまうのですが、この特性を利用し、悪意のある人間がブラウザに不正なクッキーを侵入させます。結果、ログイン情報を含めた個人情報の流出リスクが高まります。流出した個人情報はについては、様々な形での悪用が懸念されることでしょう。
クッキーのキャプチャ
クッキーは安全なSSLやTLS経由での送信が適していますが、この点はあくまでもサイト次第です。安全な接続であればクッキーの情報は暗号化されているため、サイト運営者でも詳しい情報は分かりませんが、対策をしていないサイトの場合、悪意ある第三者に盗まれる可能性があります。このような事情を知らないサイト運営者もいるため、いまだに被害がなくなっていない状況です。
広告詐欺
サードパーティ・クッキーは広告詐欺のリスクが懸念されています。ユーザーの興味のある情報が広告で表示されるのはクッキーの情報を元にしているからですが、一部の悪意ある業者がサードパーティ・クッキーを悪用することで、広告詐欺、ひいては不正販売に発展するリスクがあります。
不正なクッキーをしのばせることで、サイトを訪れたユーザーの個人情報を不正利用し、意図せずに売買を行うといった行為が考えられます。
サードパーティ・クッキー廃止に備えよう
サードパーティ・クッキーは悪意のあるユーザーに対処できない点が最大の問題です。その点を危惧しGoogleでは2025年に廃止するとアナウンスしています。Googleは以前からサードパーティ・クッキーの問題点を指摘していましたが、2024年4月に3度目の延期となりました。今回も延期するのではとの声もありますが、本当に廃止される可能性もあるため、廃止されてからではなく、早い段階で廃止に備えた対策・検討が重要になります。