追跡からユーザーを守る「自衛」策も提案

FacebookとInstagram、アプリ内ブラウザに“操作が監視される”リスク

Image:klevo/Shutterstock.com

Facebookを傘下に置くMeta社は、7月末の第2四半期(4~6月)決算報告で、広告の売上高が初めて減少したと報告していた。その原因の1つは、アップルがiOS 14.5以降に導入したプライバシー保護対策の「アプリトラッキング透明性(ATT)」だとみられている。アプリやウェブをまたいで追跡する際に、ユーザーの明示的な許可を要求されるため、個々人の嗜好に合わせたターゲティング広告の効果が激減したからだ。

しかしMeta社の各アプリに組み込まれた独自ブラウザにより、この制限が回避されるプライバシーリスクが報告されている。

なぜiOSのブラウザで “ATTの抜け道” を探ることが困難かといえば、アップル提供のHTMLレンダリングエンジン「WebKit」の使用が義務づけられているからだ。これによりアップルが課したプライバシー保護はシステム的に守られるとともに、自社アプリのSafariにはWebKit+限定機能(Apple Payやフルスクリーン機能など)を付けることで、エコシステム内の優位を保っているわけだ。

さて、Fastlane Tools創業者のFelix Krause氏は、Meta傘下の「FacebookおよびInstagramアプリ内のブラウザが、あらゆるウェブサイトでユーザー行動を追跡できる」と報告している。

これら2つのアプリでは、サードパーティのリンクや広告すべてを独自に(WebKitを使わず)レンダリングしている。そのため、パスワードやアドレスを含むすべてのフォーム入力からタップ1つに至るまで、外部サイトとのやりとりを追跡でき、ユーザーに様々なリスクが背負わされるというのだ。

次に挙げられているのが、そのリスクの内容である。

・ユーザーやウェブサイトのプロバイダーから同意を得ることなく、外部のウェブサイトで起きたことをすべて監視できる。

・広告のクリック時を含めて、表示されるすべてのウェブサイトに追跡コードを注入し、タップされたすべてのボタンやリンク、テキストの選択、スクリーンショット、さらにはパスワード、住所、クレジットカード番号ほかフォーム入力など、すべてのユーザー行動を監視できるようにしている。

・これらは暗号化されているかどうかに関わりなく、すべてのウェブサイトに対して機能する(サイトのプロバイダー側では暗号化ページにトラッキング/広告コードを注入できない)。

注目すべきは、Metaがどういった情報を集めているのか、特定できていないことだ。Krause氏はただ、「何かが集められている」ことだけを確認している。

なぜ、Metaが外部サイトすべてのトラフィックを監視することに興味を持つのか。その理由は、かつて同社が「FacebookやInstagramアプリを無料で使い続けたければ追跡を許可するように」と呼びかけたことでも明らかだと指摘されている。精度の高いターゲティング広告は貴重な収入源であり、その基盤となるユーザー追跡を許可することは無料アプリの対価だ、と示唆されていたのである。

単にKrause氏はリスクに警鐘を鳴らすだけではなく、サイト管理者らに「自衛」する方法を伝えている。たとえばInstagramとFacebookのアプリを騙して追跡コードをインストール済みだと思わせたり、ユーザーが選択したテキストの追跡を防ぐためのHTMLコードである。

Meta社はVRヘッドセットを値上げしたばかりだが、その背景には広告収入の落ち込みもあるのだろう。アップルのプライバシー対策は、間接的に値上げの原因となったのかもしれない。

関連キーワード: