ブラウザでユーザーを識別するフィンガープリントって、なに?

ブラウザでユーザーを識別するフィンガープリントって、なに?

この記事は5 分 44.1 秒で読めます。

browser fingerprinting

Firefox 67.0から採用されたフィンガープリントのブロック機能とブラウザ・フィンガープリント (browser fingerprint) の概要と最新技術をやさしく説明した記事です。

avatar

質問者

Firefox 67.0からフィンガープリント対策されたと聞いたのですが、そもそもフィンガープリントって何ですか?

Firefox 67.0

(2019) 5/29 にリリースされたFirefoxですね!
フィンガープリントにも様々な種類がありますが、基本的な部分を順をおって分かりやすく話しますね。

avatar

Saki

Firefox67.0のブラウザ・フィンガープリント対策の設定

Saki

まずは、Firefox67.0のどこでフィンガープリントの設定するのか説明します。

Firefoxのメニューから[設定]を選択し、左サイドメニューから[プライバシーとセキュリティ]をクリックします。

Firefox 67.0

コンテンツブロッキング[カスタム]を選択すると拡張設定部分が表示されます。

Firefox 67.0

この中の[フィンガープリント採取]をチェックし、[すべてのタブを再読み込み]をクリックすれば、設定が完了します。

もしくは[厳格]」を選択すれば、フィンガープリントのブロック機能も働くようです。

Firefoxのブラウザ・フィンガープリントのブロック機能の效果

Saki

このサイトを使って、フィンガープリントのブロックの効果を確認しましたが、効果はあまりないと感じました。

設定前は、1,151,855人でユニークでした、(約115.2万人に1人)
設定後は、1.145.518人でユニークでした。(約114.6万人に1人)

avatar

質問者

意外に効果がなかったですね。

そうですね。
ただ私の場合、Firefoxは特定のサイトしか見に行っていないので、このような結果になったと思います。
また、全ての情報を遮断すると、利用したいコンテンツが使えなくなる可能性もあったり、Googleアナリティクスにとっては迷惑なことになりかねないです。
このため、Firefoxのフィンガープリントのブロック機能は極端なものではなく、必要最低限の情報はブロックしていないと思います。
また、人によっても大きく変わると思います。

avatar

Saki

ブラウザ・フィンガープリントって何をしているのか!

avatar

質問者

そもそも、上のユニーク数はどうやって判断しているのですか?

Saki

では、基本的な調査方法を紹介します。

先ほどのサイトでは、21項目について調査していました。

browser fingerprinting

多くの場合、OSブラウザ各種バージョン言語フォント、導入しているプラグインの各種情報タイムゾーングラフィックカードの各種情報スクリーン情報などを使います。

ブラウザ・フィンガープリント データ収集イメージ

上図のように取得する情報が増えれば増えるほど、個人を特定情報する増えることになるのです。

結果的に、セキュリティが甘いブラウザほど、個々の特定がし易くなるのです。

上図のように取得する情報が増えれば増えるほど、個人を特定情報する増えることになるのです。
情報収集しやすいブラウザの環境ほど、個人が特定しやすくなるのです。

個人といっても、個人情報まで収集しているわけではないので、勘違いされないように。
とはいえ、会員制サイトやショッピングサイトなどの個人情報を突き合わせした場合は別です。

ブラウザ・フィンガープリントの利用場面

avatar

質問者

どんなことにフィンガープリントが使われているのですか?

Saki

有名なのは広告の表示ですね。
よく見に行くサイトや広告を見た種類などの情報なども付加することで、個人の趣味や興味などを推測して該当する広告を表示します。
つまり、その人の趣味や興味の傾向を収集しています。
特にアフィリエイト系の広告では多種多様な広告を扱っているため、こういった情報は売上に直接影響してくるため重要な技術となっています。

このような個人を絞り込みをするシステムは、年々進化をしています。
個人の趣味に合わせたおすすめの商品を表示したり、Google HomeAmazon EchoLINE Clova WAVEApple HomePodなどのように、音声解析と組み合わせて簡単に商品を購入できるになってきています。

民間だけでなく、(社)著作権情報集中処理機構では積極的にフィンガープリントを活用する仕組みを構築しています。

ブラウザ・フィンガープリントの問題点(デメリット)

avatar

質問者

フィンガープリントされる側(?)のメリットがあるのは分りましたが、デメリットはないのですか?

Saki

隠れた大きなデメリットはありますね。

先にも説明したように、情報量が少ないうちは数百万人の内の一人ですが、情報量が増えてくれると、数万人、数百人、数十人の内の一人と個人を特定し易くなるのです。

例えば、完全な個人情報を含むデータとフィンガープリントとマッチングされた情報が流出されたなら、だれがどこのサイトでどんなページを見たかなどがすぐに特定できる可能性を持っているのです。
実際にそんなデータがあったならば、相当な各額で取引されるでしょう。

他にも、完全な個人情報でなくてもフィンガープリント情報を持った各社がデータを持ち寄ったならば、ほぼ個人を特定するレベルになっているかも知れません。
現在は各社が独自のフィンガープリント情報収集を行っているので、大きな問題になっていないだけです。

もし個人情報保護に関する法律等がなければ、すでに完全に個人を特定できているでしょう。

このため、個人情報のセキュリティに厳しいまたは敏感な人や企業が問題提起しているのです。

avatar

質問者

なるほど、Firefoxがフィンガープリントのブロック機能を付加した理由がここにあるわけですね。

ブラウザ・フィンガープリントは悪なのか?!

avatar

質問者

デメリットを聞くと悪用されそうな気がするのですが。
実際のところはどうなのでしょうか?

Saki

確かにデメリットを聞くと悪用できる技術です。
しかし、利便性の高いものには、必ず反面となる部分が存在します。
例えば、クレカや個人番号カードも同じことが言えます。

つまるところ、個人情報を扱うサイトなどが法律を遵守し、セキュリティを高めれば完全な個人情報との突き合わせはほぼできなくなります。
ほぼと言ったのは…
例えば極端な話ですが、離島で住人が一人で、接続しているGPS情報を発信していたら、個人を特定できますね、まず無いとは思いますが…。

このため、法律を遵守できない国や企業などにネット上も関わらないことが一番目のセキュリティとなるのです。
ネットの基本は性善説であり、国や企業・個人がルールを守ることが大前提であるためです。

現在のところ企業サイドは、フィンガープリントのデメリットよりも、フィンガープリントを有効的に使うメリットの方が大きく、その利点を活かすための工夫に注力しています。
また、フィンガープリントの利点を使った新しい技術も考えられています。

ブラウザ・フィンガープリントの新技術

Saki

ここから少し難しい話になります。

現在のフィンガープリントはブラウザ情報も含んでいるため、ブラウザが変わるとその情報は役に立ちません、

銀行などのWebサービスでは、前回ログインしたブラウザと違うという警告を出したりするものもあります。
これもセキュリティとしての1つですが。

リーハイ大学(米国ペンシルバニア州)のYinzhi Cao氏とSong Li氏、ワシントン大学のLouis ‘Erik Wijmans氏らの考案したクロスブラウザフィンガープリント技術では、別のブラウザでも同じフィンガープリントが有用になるものです。

グラフィックカードマルチコアプロセッササウンドカードインストール済みのフォントなどを使用するタスクを実行させることで、それぞれのほんの少しづつ異なる情報を調べることでそのPCの特性を割り出すものです。
ハードウエアの微妙な特性から、個々のPCを特定するもので、ブラウザが変わっても個々のPCは特定できるという技術です。

なお、この実験で使用したコードはGitHubで公開されています。

デモサイトはこちらから

実際にデモをすると、こんな感じで画像が描画し解析されて、ユニークかどうか判断されます。

クロスブラウザ・フィンガープリント

このクロスブラウザフィンガープリント技術は、場合によっては複数のブラウザにわたる強力な多要素ユーザー認証の一部として使用できるということです。
簡単に言えば、ブラウザが変わっても、同一ユーザーとして認証できかも知れないということです。

ちなみに、彼らは3,615の指紋と1,903のユーザーを含むテストを実行し、ユーザーの99.2%を識別したとのことです。

銀行などへのWeb取引サービスのPC認証の一部に使えるのではないかということです。

Internetカテゴリの最新記事