ギズモードジャパン

グーグルおまえもか！

Googleと広告各社がSafariブラウザのCookie拒否のプライバシー設定を迂回し、Cookieをウェブ広告から端末（iPhone・iPad・iPod touch・パソコン）に埋め込んでユーザーの閲覧履歴を追跡していたことがWSJの調べで判明しました。

WSJによると、GoogleこのクッキーはFandango.com、Match.com、AOL.com、TMZ.com、UrbanDictionary.comなどのページ掲載の広告で確認された、とのこと。WSJからの取材を受け、Googleは以下の声明を発表しましたよ。

「（ウォールストリート）ジャーナルは何がなぜ起こったか、事の本質をねじ曲げて伝えている。我々はSafariの既知の機能を使い、サインイン済みのGoogleユーザーが有効にした機能を提供しているのであって、こうした広告クッキーで個人情報を収集しているのではないことを特に強調しておきたい」

とは言ってもブロックを迂回していたのは事実なので、自社サーバーでこの問題の機能を無効にし、サイトにあった「Safariの設定でGoogleの追跡を阻止できる」という文言を削除したようです。

一方、Appleはこのようなプライバシー侵害に「ストップをかける方向で現在作業を進めている」と話してます。

問題のコードはGoogle+の開発中にできたもの。サードパーティーのウェブサイトに「+1」を最初導入したらSafariにブロックされたので、それを回避するため書かれました。

Safariではユーザーの同意抜きにCookieを直接使うことをデフォルトで許していません。なので直接Cookieを使うかわりに、あたかもユーザーがGoogleに目に見えないフォームを送信したかのようにSafariに思い込ませるコードをこしらえたのです。巧妙よのお。こうすればあとはCookie追加してユーザーの知らないところでウェブ閲覧履歴を追跡したり、Googleの思い通りにできる、というわけですね。
　

　
もっとも、今回Googleのコードはスタンフォード大院生のジョナサン・メイヤー（Jonathan Mayer）研究員が見つけましたが、同じ脆弱性を使う手法は割と昔から知られていて、2010年2月には最初に見つけたアナント・ガーグ（Anant Garg）氏がここに詳しく活用法を解説してるんですよね...。Appleが現在「ストップをかける方向で作業中」なのはいいのだけど、正確にはAppleもAppleで2年寝太郎で門を鍵開けっぱなしで放置していたことに。

早速これ幸いとばかりにマイクロソフトが「IE9はセキュリティ盤石よ」とPRしてますよ！（追記：マイクロソフト、IEにもGoogleクッキーが密かに埋められていたと発表！）

いやはや、GoogleGoogleのプライバシー方針が大揺れの中、また「悪をなさない」はどこ行ったのって言われそうですね。

Google広報上級VPレイチェル・ウェットストーン（Rachel Whetstone）女史の釈明ロングバージョンも訳しておきますね。

（ウォールストリート）ジャーナルは何がなぜ起こったか、事の本質をねじ曲げて伝えている。我々はSafariの既知の機能を使い、サインイン済みのGoogleユーザーが有効にした機能を提供しているのであって、こうした広告クッキーで個人情報を収集しているのではないことを特に強調しておきたい。

他の大手ブラウザと違い、AppleのSafariブラウザではサードパーティーのCookiesをデフォルトでブロックしている。しかしSafariはその一方で、サードーパーティーおよびサードパーティーのCookieに依存するユーザー向けのウェブ機能を多数有効にしている。 例えば「Like」ボタンがそれだ。昨年我々は「パーソナライズした広告その他のコンテンツを見たい」とオプトインしたGoogleユーザーがGoogleにサインイン後、Safariを開いた場合に使える機能（興味のあるものに「+1」投票できる機能など）を有効にするのに、この機能を使った。

[...]こうした機能を有効にするため、我々はSafariブラウザとGoogleのサーバーの間に一時的に使える通信リンクを作成した。こうすればSafariユーザーがGoogleにもサインイン済みであるかどうか、この種のパーソナライゼーションにオプトインしたかどうかの確認がとれるからだ。ただし、ユーザーのSafariブラウザとGoogleのサーバーの間を通る情報は匿名になるようデザインされているので、ユーザーの個人情報とその人が閲覧するウェブコンテンツの間にはちゃんとバリアができている。

[...]しかしながら、SafariブラウザにはGoogleの他の広告クッキーをブラウザに受け入れ有効にする機能も含まれていた。まさかこんなことが起こるとは予想もしなかったし、早速Safariブラウザから広告クッキーを外す作業を始めたところだ。 これは重要なことなので念押ししておきたが、他のブラウザ同様、このような広告Cookieで個人情報が集められることはない。

Safari Trackers - Web Policy [Wall Street Journal; Image: AP]関連：GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会

JAMIE CONDLIFFE（原文／satomi）