スーパークッキー、ゾンビクッキー、エバークッキーとは何ですか?また有害ですか?

追跡は常にCookieユーザーにとってプライバシーに関する最大の懸念事項の 1 つでしたが、インターネットのおかげで状況は変わりました。通常のブラウザー Cookie は非常に便利で簡単にクリアできますが、ユーザーの閲覧アクティビティを固定して追跡するために構築された他のバリエーションもあります。これらのバリエーションのうちの 2 つは、スーパークッキーとゾンビクッキー (一般に「Evercookie」として知られています) です。これら 2 つの亜種は、削除しようとする人々に多くの困難を引き起こすため、有名です。幸いなことに、セキュリティ専門家から適切な注意を「受け」ており、今日の Web ブラウザは、これらの複雑で卑劣な追跡テクニックに対抗するために絶えず開発されています。

スーパークッキー

この用語はさまざまなテクノロジーを説明するために使用され、その中には実際には Cookie も含まれるため、少し混乱する可能性があります。一般に、この用語は、閲覧プロファイルを上書きして一意の ID を与えるものを指します。このように、Cookie は Cookie と同じ機能をサポートしており、Web サイトや広告主がユーザーを追跡できるようになりますが、Cookie とは異なり、削除することはできません。

「スーパークッキー」という用語は、Unique Identifier Headers (UIDH) に関連して、または HTTP Strict Transport Security (HSTS) の脆弱性として使用されることがよくありますが、元の表現はトップレベルドメインから発生する Cookie を指します。これは、Cookie を「.com」や「.co.uk」などのドメイン名に設定できることを意味し、そのドメインサフィックスを持つ Web サイトがそれを閲覧できるようにします。

Google.com がスーパー Cookie を設定すると、その Cookie は他の「.com」サイトに表示されるようになります。これは明らかにプライバシーの問題ですが、それ以外は通常の Cookie であるため、最新のブラウザのほとんどはデフォルトでブロックします。このタイプのスーパークッキーについてはもう誰もあまり話さないため、他の 2 つ (ゾンビクッキーとエバークッキー) についてはよく聞くことになるでしょう。

固有識別子ヘッダー (UIDH)

Unique Identifier ヘッダーは通常、コンピュータ上には存在せず、ISP と Web サイトサーバーの間に表示されます。 UIDH の作成方法は次のとおりです。

Web サイトのリクエストを ISP に送信します。
ISP はリクエストをサーバーに転送する前に、リクエストのヘッダーに一意の識別文字列を追加します。
この一意の識別文字列により、Web サイトは、Cookie をクリアした場合でも、訪問するたびにあなたを同じユーザーとして識別できるようになります。 Web サイトがユーザーの身元を認識すると、同じ Cookie をブラウザーに直接設定するだけです。

簡単に言うと、ISP が UIDH 追跡を使用している場合、訪問するすべての Web サイトに個人の「署名」が送信されます。これは主に広告収益の最適化に役立ちますが、顧客に通知しなかった、または提供しなかったとして FCC が Verizon に 135 万ドルの罰金を課したほど迷惑です。顧客にオプトアウトのオプションを与えます。

Verizon 以外では、企業が UIDH スタイルの情報を使用しているデータはあまりありませんが、消費者の反発により、これは不人気な戦略となっています。それも、暗号化されていない HTTP 接続でのみ機能します。さらに、今日のほとんどの Web サイトはデフォルトで HTTPS を使用しており、HTTPS Everywhere などのアドオンを簡単にダウンロードできるため、このスーパー Cookie は実際にはそれほど大したことではなく、おそらく広く使用されることはないでしょう。追加の保護層が必要な場合は、VPN を使用してください。VPN により、リクエストは UIDH を添付せずに Web サイトに確実に転送されます。

HTTPS 厳密転送セキュリティ (HSTS)

HSTS (HTTP Strict Transport Security) は、HTTPS で保護された Web サイトを低レベルの攻撃から保護するために必要なセキュリティポリシーです。 HSTS は、Web サイトへのすべての接続がHTTPS プロトコルを使用して暗号化されることを保証し、HTTP プロトコルは決して使用しません。現在、Google は .google、.how、.soy で終わるドメイン名を含む 45 のトップレベルドメインに HSTS を適用しています。

HSTS は本当に優れたソリューションです。これにより、ブラウザは、安全でない HTTP バージョンではなく、HTTPS バージョンの Web サイトに安全にリダイレクトできます。残念ながら、次の式でスーパークッキーを作成するために使用することもできます。

複数のサブドメインを作成します (「domain.com」、「subdomain2.domain.com」など)。
メインページへの各訪問者に乱数を割り当てます。
ページ上の非表示のピクセルにサブドメインを追加して、ユーザーにすべてのサブドメインを強制的に読み込ませるか、ページの読み込み中に各サブドメインを通じてユーザーをリダイレクトします。
一部のサブドメインでは、ユーザーのブラウザが HSTS を使用して安全なバージョンに切り替える必要があります。他の人にとっては、ドメインを HTTP が安全でないままにしておきます。
サブドメインのHSTSポリシーが有効な場合は「1」としてカウントされます。オフの場合は「0」としてカウントされます。この戦略を使用すると、Web サイトはユーザーのランダム ID 番号をブラウザの HSTS 設定にバイナリとして記録できます。
訪問者が戻るたびに、Web サイトはユーザーのブラウザ上の HSTS ポリシーをチェックし、HSTS はユーザーを識別する最初に生成された同じバイナリ番号を返します。

複雑そうに聞こえますが、簡単に言うと、この Web サイトはブラウザーに多くのページのセキュリティ設定を作成させて記憶させ、次にアクセスしたときにデータを通じてユーザーが誰であるかを知ることができます。

Apple は、サイトごとに 1 つまたは 2 つのメインドメインに対してのみ HSTS 設定を許可することや、サイトが使用できるリダイレクトの数を制限することなど、この問題に対する解決策も導入しました。他のブラウザもこれらのセキュリティ対策に従う可能性がありますが (Firefox のシークレットモードがその例です)、有効性については確認されていないため、これは当てはまりません。ほとんどのブラウザにとってこれは最優先事項です。 HSTS ポリシーを手動でインストールおよび削除するいくつかの方法について詳しく学ぶことで、問題を自分で解決できます。

ゾンビクッキー/エバークッキー

Evercookie としても知られる Zombie cookie は、本質的には cookie を削除しようとする際に直面する困難を説明するために作成された JavaScript API です。

ゾンビ Cookie は通常の Cookie ストレージの外に隠されているため、削除できません。ローカルストレージは Zombie Cookie の主なターゲットであり ( Adobe Flashと Microsoft Silverlight はこれを頻繁に使用します)、一部のHTML5ストレージも問題になる可能性があります。ゾンビ Cookie は、閲覧履歴や、ブラウザがキャッシュを許可しているRGB カラーコード内に存在する場合もあります。

ただし、多くのセキュリティホールは徐々に解消されつつあります。 Flash と Silverlight は現代の Web デザインの重要な部分ではなく、多くのブラウザーは Evercookie に対して脆弱ではなくなりました。これらの Cookie がシステムに侵入して「寄生」する方法は非常にたくさんあるため、自分自身を守る方法はありませんが、ブラウザのクリーニングルーチンは決して得策ではありません。

私たちは安全ですか？

今日のセキュリティの世界では、オンライン追跡テクノロジーの開発が常に競争になっているため、プライバシーを特に懸念している場合は、オンライン環境では 100% 安全であるという保証は決してできないという事実に慣れる必要があるでしょう。

ただし、スーパー Cookie はあまり一般的ではなく、ますます積極的にブロックされているため、あまり心配する必要はありません。これらの Cookie は、脆弱性にパッチが適用されるまでアクティブのままであり、新しいテクノロジーでいつでも更新できます。

続きを見る：