ユーザー認証を行なっているWebサイトでは、しばしば「クッキー(Cookie)を有効にする」ように注意を見かけます。他方で、アンチウイルスソフトではクッキーをスパイウェアとしてブロック/検出することがあります。クッキーはどのように使われているのか、どうした問題があるのかについてお話したいと思います。
自分自身で使うクッキー ~ ファーストパーティクッキーの問題点
クッキーは、ユーザーのPC内にWebブラウザが保存する情報です。その中身を簡単に説明すると「Webサイトの閲覧記録」で、「どのPCやIPアドレスから、どのURLにアクセスしたのか」などの情報が含まれています。含まれる情報には大きな差はありませんが、どこが発行したかにより、クッキーは2種類に分けられます。
1つ目は、閲覧しているURLのWebサーバーから発行されるもので、「ファーストパーティクッキー」と呼ばれます。ショッピングサイトで、一度ログイン認証を行なうと、少し時間をおいてから同じページにアクセスしてもログイン状態で開かれるという経験があると思いますが、これはクッキーによるものです。クッキーにどのPCでどのIDで認証に成功したかの情報が含まれており、同じPCからの接続は、ログインのための再認証を一定時間省いているわけです。
ファーストパーティクッキーは、認証を行なっているページでは使われていることが多いため、無効化し続けるのは現実的ではありません。また、使われる範囲が1つのサイトで閉じているため、普通の利用における危険性は低いといえます。
ただし、ログイン状態の保持時間が長いサイトを利用していると、そのPCが盗難にあった場合、盗んだ人がWebメールのサイトを開いたらログイン状態で入れてしまう危険もあります。そのため、持ち出しすることが多いノートPCでは、クッキーは保存しない方が安全です。また、盗難/紛失時には、念のため利用しているWebサイトのID/パスワードの変更を行ないましょう。
見知らぬサイトのクッキー ~追跡クッキーの利点と危険性
クッキーの種類の2つ目は、ユーザーがアクセスしているWebサイトとは別のサーバーから発行されるクッキーです。表示しているWebページの中に、別のサーバーからクッキーを発行させる命令が記載されているのですが、こうしたクッキーは「サードパーティクッキー」あるいは「追跡クッキー」と呼ばれています。
サードパーティクッキーは、バナー広告などでよく利用されます。これにより、ユーザーの閲覧記録に応じて、広告の内容をより適したものに変更する仕組みを実現できるのです。たとえば、Xという広告運営会社のバナーが貼られた、Aというプラズマテレビの口コミサイトにアクセスします。その後、同じXのバナーを使用している、Bというプラズマテレビとは全然関係のないサイトにアクセスすると、やはりプラズマテレビに関する広告バナーが表示される、という具合です。
これだけでは、サードパーティクッキーは必ずしも悪いとはいえません。ユーザーには興味のある広告を、広告主には実売に結びつく可能性の高い広告を表示するのですから、お互いによい関係であるともいえます。
しかし、サードパーティクッキーには大きな懸念があります。クッキーの発行者がユーザーの閲覧情報を多数収集できてしまう点、収集されていることをユーザーが気づかない点です。
「自分がどのWebサイトを利用しているのか」を、よくわからない会社が収集していることに拒否反応を持つ人は多いでしょう。にもかかわらず、サードパーティクッキーに関する情報の公開が足りていないのが現状です。
サードパーティクッキーの場合、無効にしてもWebを閲覧する上で支障が出ることはまずありません。気になる人は無効に設定しましょう。ある程度は許容できるという場合は、定期的にクッキーの削除を行なう方法もあります。
サイト運営者の心得
もし自分のサイトで広告バナーなどを使用する場合は、サードパーティクッキーが使われているかどうか、使われているのであれば、どういった用途なのかということを閲覧者に正確に伝えるようにしましょう。特に、自分のサイトでファーストパーティクッキーも利用する場合は注意が必要です。ファーストパーティクッキーの許可だけで閲覧には十分なところを、誤ってサードパーティクッキーまで許可するように誘導してしまったというようなことがないように気を付けましょう。
筆者紹介:富安洋介
エフセキュア株式会社 テクノロジー&サービス部 プロダクトエキスパート
2008年、エフセキュアに入社。主にLinux製品について、パートナーへの技術的支援を担当する。
この連載の記事
-
最終回
TECH
セキュリティの根本はインシデントに備えた体制作りから -
第54回
TECH
マルウェア感染の被害を抑える「転ばぬ先の出口対策」 -
第53回
TECH
マルウェア感染を発見した際の初期対応 -
第52回
TECH
ついに成立したサイバー刑法に懸念点はないか -
第51回
TECH
施行されたサイバー刑法における「ウイルス作成罪」の内容 -
第50回
TECH
サイバー刑法が過去に抱えていた問題点 -
第49回
TECH
ウイルス作者を取り締まるサイバー刑法ができるまで -
第48回
TECH
医療ICTの今後の広がり -
第47回
TECH
重大な情報を扱う医療ICTのセキュリティ対策 -
第46回
TECH
医療ICTの柱「レセプト電算処理システム」の仕組みと問題 -
第45回
TECH
医療分野で普及が進む電子カルテシステムの課題 - この連載の一覧へ