このページの本文へ

週刊セキュリティレポート 第25回

クッキーの使われ方と問題点とは?

「サードパーティクッキー」が危険な理由を正しく知りましょう

2011年12月19日 06時00分更新

文● 富安洋介/エフセキュア

  • この記事をはてなブックマークに追加
  • 本文印刷

ユーザー認証を行なっているWebサイトでは、しばしば「クッキー(Cookie)を有効にする」ように注意を見かけます。他方で、アンチウイルスソフトではクッキーをスパイウェアとしてブロック/検出することがあります。クッキーはどのように使われているのか、どうした問題があるのかについてお話したいと思います。

エフセキュア製品でのクッキーブロック機能

自分自身で使うクッキー ~ ファーストパーティクッキーの問題点

 クッキーは、ユーザーのPC内にWebブラウザが保存する情報です。その中身を簡単に説明すると「Webサイトの閲覧記録」で、「どのPCやIPアドレスから、どのURLにアクセスしたのか」などの情報が含まれています。含まれる情報には大きな差はありませんが、どこが発行したかにより、クッキーは2種類に分けられます。

 1つ目は、閲覧しているURLのWebサーバーから発行されるもので、「ファーストパーティクッキー」と呼ばれます。ショッピングサイトで、一度ログイン認証を行なうと、少し時間をおいてから同じページにアクセスしてもログイン状態で開かれるという経験があると思いますが、これはクッキーによるものです。クッキーにどのPCでどのIDで認証に成功したかの情報が含まれており、同じPCからの接続は、ログインのための再認証を一定時間省いているわけです。

エフセキュア製品でのクッキーブロック機能

 ファーストパーティクッキーは、認証を行なっているページでは使われていることが多いため、無効化し続けるのは現実的ではありません。また、使われる範囲が1つのサイトで閉じているため、普通の利用における危険性は低いといえます。

 ただし、ログイン状態の保持時間が長いサイトを利用していると、そのPCが盗難にあった場合、盗んだ人がWebメールのサイトを開いたらログイン状態で入れてしまう危険もあります。そのため、持ち出しすることが多いノートPCでは、クッキーは保存しない方が安全です。また、盗難/紛失時には、念のため利用しているWebサイトのID/パスワードの変更を行ないましょう。

見知らぬサイトのクッキー ~追跡クッキーの利点と危険性

 クッキーの種類の2つ目は、ユーザーがアクセスしているWebサイトとは別のサーバーから発行されるクッキーです。表示しているWebページの中に、別のサーバーからクッキーを発行させる命令が記載されているのですが、こうしたクッキーは「サードパーティクッキー」あるいは「追跡クッキー」と呼ばれています。

 サードパーティクッキーは、バナー広告などでよく利用されます。これにより、ユーザーの閲覧記録に応じて、広告の内容をより適したものに変更する仕組みを実現できるのです。たとえば、Xという広告運営会社のバナーが貼られた、Aというプラズマテレビの口コミサイトにアクセスします。その後、同じXのバナーを使用している、Bというプラズマテレビとは全然関係のないサイトにアクセスすると、やはりプラズマテレビに関する広告バナーが表示される、という具合です。

 これだけでは、サードパーティクッキーは必ずしも悪いとはいえません。ユーザーには興味のある広告を、広告主には実売に結びつく可能性の高い広告を表示するのですから、お互いによい関係であるともいえます。

サードパーティクッキーの代表的な利用方法

 しかし、サードパーティクッキーには大きな懸念があります。クッキーの発行者がユーザーの閲覧情報を多数収集できてしまう点、収集されていることをユーザーが気づかない点です。

 「自分がどのWebサイトを利用しているのか」を、よくわからない会社が収集していることに拒否反応を持つ人は多いでしょう。にもかかわらず、サードパーティクッキーに関する情報の公開が足りていないのが現状です。

 サードパーティクッキーの場合、無効にしてもWebを閲覧する上で支障が出ることはまずありません。気になる人は無効に設定しましょう。ある程度は許容できるという場合は、定期的にクッキーの削除を行なう方法もあります。

サイト運営者の心得

 もし自分のサイトで広告バナーなどを使用する場合は、サードパーティクッキーが使われているかどうか、使われているのであれば、どういった用途なのかということを閲覧者に正確に伝えるようにしましょう。特に、自分のサイトでファーストパーティクッキーも利用する場合は注意が必要です。ファーストパーティクッキーの許可だけで閲覧には十分なところを、誤ってサードパーティクッキーまで許可するように誘導してしまったというようなことがないように気を付けましょう。

筆者紹介:富安洋介

エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。


カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード