サードパーティー Cookie というものがあります。詳しい説明はリンク先「サードパーティ Cookie の歴史と現状」に譲りますが、おおまかに言えば閲覧しているウェブサイトのドメインと送受信する Cookie がファーストパーティ、閲覧中のドメインとは別のところから呼び出される Cookie がサードパーティです。

このサードパティー Cookie はどこからでも利用できるユーザのトラッキング手段としてたいへん強力なため、多数の広告サービスなどで利用されています。多くのブラウザではこうしたトラッキングを拒否する手段として、サードパーティ Cookie のブロック設定が提供されていますが、一方で広告以外でもサードパーティ Cookie に依存したサービスが少なくないため（「いいね！」とか）、デフォルトでブロックするブラウザは少数派です。Google Chrome はもちろんブロックなんてとんでもありませんし、Firefox や Opera もデフォルトでブロックせず、IE はブロック回避のテクニックが確立しています。ここまで前置き。

さて、このような状況のなか、デフォルトでサードパーティ Cookieのセットをブロックする珍しいブラウザが Safari です。しかし WSJ によれば、ユーザーが操作したときにはサードパーティ Cookie を受け入れるという Safari の仕様の抜け穴を利用することで、Google はデフォルトのブロック設定であってもサードパーティ Cookie をセットする広告を展開していたとのこと。

具体的にどのような「抜け穴」を使ったかといえば、まず Safariでは外部ドメインから iFrame で埋め込まれたパーツであっても、たとえばユーザーがボタンを押したりフォームを送信した場合、つまり意図的にアクションをおこなったと考えられる場合、そのドメインからのクッキーを受け入れる仕様になっています。

Google が"+1" ボタンつき広告に埋め込んでいたのは、フレームが読み込まれると同時に見えないフォームを自動的に送信することで、ユーザーが操作したようにみせかけてCookieを受け入れさせるという手法。小手先の迂回テクニックとしては広く知られており、たとえばFacebookは開発者向けページで堂々と「ベストプラクティス」として紹介しています。

この Cookie は24時間で期限切れとなりますが、一度Cookieを保存したらブロック設定に関わらずそのドメインからセット可能になるという Safari の仕様もあって、けっきょく Google のトラッキングに使われる結果になります。WSJ の検証によれば、Mac 用 Safari だけでなく、iOS のブラウザ（Safari）でも結果は同じ。Googleは昨年から展開していた" +1 "ボタンつき広告に上記のコードを使っていました。また、Google 以外にも同様のテクニックを利用した広告サービスが発見されています。

（続きます）