サードパーティー Cookie というものがあります。詳しい説明はリンク先「サードパーティ Cookie の歴史と現状」に譲りますが、おおまかに言えば閲覧しているウェブサイトのドメインと送受信する Cookie がファーストパーティ、閲覧中のドメインとは別のところから呼び出される Cookie がサードパーティです。

このサードパティー Cookie はどこからでも利用できるユーザのトラッキング手段としてたいへん強力なため、多数の広告サービスなどで利用されています。多くのブラウザではこうしたトラッキングを拒否する手段として、サードパーティ Cookie のブロック設定が提供されていますが、一方で広告以外でもサードパーティ Cookie に依存したサービスが少なくないため(「いいね!」とか)、デフォルトでブロックするブラウザは少数派です。Google Chrome はもちろんブロックなんてとんでもありませんし、Firefox や Opera もデフォルトでブロックせず、IE はブロック回避のテクニックが確立しています。ここまで前置き。

さて、このような状況のなか、デフォルトでサードパーティ Cookieのセットをブロックする珍しいブラウザが Safari です。しかし WSJ によれば、ユーザーが操作したときにはサードパーティ Cookie を受け入れるという Safari の仕様の抜け穴を利用することで、Google はデフォルトのブロック設定であってもサードパーティ Cookie をセットする広告を展開していたとのこと。

具体的にどのような「抜け穴」を使ったかといえば、まず Safariでは外部ドメインから iFrame で埋め込まれたパーツであっても、たとえばユーザーがボタンを押したりフォームを送信した場合、つまり意図的にアクションをおこなったと考えられる場合、そのドメインからのクッキーを受け入れる仕様になっています。

Google が"+1" ボタンつき広告に埋め込んでいたのは、フレームが読み込まれると同時に見えないフォームを自動的に送信することで、ユーザーが操作したようにみせかけてCookieを受け入れさせるという手法。小手先の迂回テクニックとしては広く知られており、たとえばFacebookは開発者向けページで堂々と「ベストプラクティス」として紹介しています。

この Cookie は24時間で期限切れとなりますが、一度Cookieを保存したらブロック設定に関わらずそのドメインからセット可能になるという Safari の仕様もあって、けっきょく Google のトラッキングに使われる結果になります。WSJ の検証によれば、Mac 用 Safari だけでなく、iOS のブラウザ(Safari)でも結果は同じ。Googleは昨年から展開していた" +1 "ボタンつき広告に上記のコードを使っていました。また、Google 以外にも同様のテクニックを利用した広告サービスが発見されています。

続きます


WSJ の取材に対して Google は「われわれは、グーグルにログインした利用者が有効にした機能を提供するために、サファリの既知の機能を使った。これらの広告で使われたクッキーは個人情報を集めていないことを強調したい」とコメント。また一度クロスドメインのCookieを保存させればその後は別の広告などからもセットできる挙動については「予期していなかった」と答えています。

対するアップル側の広報コメントは、「一部のサードパーティーがSafari のプライバシー機能を迂回していることは認識しており、そのようなことを阻止すべく取り組んでいます」。(Google 側は「サファリの既知の機能」(known Safari functionality)を利用したと表現しているものの、仕様を決めたアップルの意図からすれば「迂回」であり禁止すべきとの認識のようです)。

WSJ によれば、Googleは取材を受けた後に広告からこのコードを削除したとのこと。また Google は広告 Cookie からオプトアウトするためのIE / Firefox / Chrome 用プラグインを提供していますが、このプラグインの説明ページでは「Safari 用のプラグインは用意していませんが、Safari はデフォルトですべてのサードパーティー Cookie をブロックする設定になっています」(ので、オプトアウトしたのと同じ状態です) と解説していたところ、こちらも取材後にSafariについての言及が削除されていることが見つかっています。



「+1」 や「いいね!」が情報の共有・拡散装置として以上に、ユーザの嗜好理解・行動追跡装置として機能しており、その先にターゲティング広告の高度化があって、広告企業が儲かるというソーシャル時代のビジネスモデルは、いまさら指摘するまでもありません。またトラッキングが一概に悪というのも単純化しすぎた話で、嗜好や行動の情報を提供するかわり、より自分に適した広告を得ることができる、という共存関係自体は、ユーザーの理解と同意さえあればそれなりに筋が通っています。

しかし、トラッキング拒否の設定を迂回するような Google 他のやりかたは、控え目に言っても上品な手法とは言えません。タイミング的に言っても、Google サービス間での情報共有を拡大させる新サービスポリシーに対し、また不安の声が上がるのは避けられないでしょう。ターゲティング広告の高度化がユーザの便益に繋がるというならば、どうトラッキングして、どう情報を集め、どう広告に結びつけたのか、正々堂々と示して欲しいもの。つまり、邪悪にならないでいて欲しいものです。
Google、Safari のプライバシー機能を迂回して Cookie をセット、トラッキングに利用
広告

0 コメント

広告