キヤノンMJ/サイバーセキュリティ情報局
Cookieに関連するリスクや注意点、その対策について詳しく解説
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Cookieとは? その役割と重要性をわかりやすく解説」を再編集したものです。
ニュースや新聞で目にする機会も増えたCookie。インターネット利用時の利便性を向上させる一方、セキュリティ侵害による情報漏えいやプライバシー侵害などが指摘されている。この記事では、Cookieの仕組みや種類について述べた上で、関連するリスクや注意点、その対策について詳しく解説する。
Cookie(クッキー)とは何か
Cookie(クッキー)とは、Webサイト閲覧時に端末上のWebブラウザーに保存されるテキストファイルのことである。Webサイトを閲覧する際に「Cookie取得に同意しますか」という表示を目にしたことがある人もいるだろう。Cookieという言葉の由来は、お菓子のクッキーとされる。Webサーバーが発行・配付し、クライアント端末のWebブラウザーが受け取る仕組みから、やり取りするテキストファイルを疑似的にお菓子に例えたことが定着したものと思われる。
Cookieを用いることで、IDやパスワードなどの認証情報がWebブラウザーに保管されるため、スムーズな認証が可能となる。しかし一方で、Cookieをめぐるセキュリティやプライバシーの懸念についても、近年は注目されるようになっている。
Cookieの役割やメリット
Cookieの主な役割やメリットは以下の4つだ。
1)スムーズなWebサイトへのログイン
IDやパスワードなどの認証情報をWebブラウザーが記録して呼び出せることで、それらを都度入力する必要がない。そのため、ログインを円滑に行える。
2)ECサイトにおける利便性向上
上記のログインをはじめ、クレジットカード情報などを記憶しておくことで、購入時の手間が省ける。また、購入見込みの商品を「お気に入り」に登録、あるいはショッピングカートに入れたままにして、後日改めて購入することも可能だ。このあたりについてはECサイトがそれぞれ工夫を凝らしている。
3)ユーザーごとのコンテンツ表示最適化
CookieにWebページの閲覧状況を保持しておくことで、関連するページの表示や、表示するコンテンツのカスタマイズが可能だ。具体的には、特定ブランドの洋服を閲覧したユーザーに、同じブランドの別の商品をおすすめとして表示するといった方法がある。
4)広告配信システムにおける適切なターゲティング
Cookieは広告配信でも活用される。Webサイトの閲覧履歴を元に、興味関心があると推測される商品の広告を配信する、といった活用法が挙げられる。また、接触回数に応じて広告の内容を変化させるといった方法もある。
Cookieの仕組み
Cookieの仕組みは図1のように、初回と2回目以降のアクセスでやり取りのプロセスの一部が異なる。
具体的には、初回のWebサイトへの接続時に、Webサーバー内でCookieが生成され発行される。Webサーバーが発行したCookieをユーザーのWebブラウザーが受信し、ブラウザー内に保管する。2回目以降の接続時には、端末に保管されたCookieの情報をWebサーバーに送信。Cookieの情報に紐づくセッションIDに応じて、ログインや閲覧履歴の管理といった処理が行われる。
Cookieの種類
Cookieは「ファーストパーティー」と「セカンドパーティー」、「サードパーティー」という3つに分類される。この違いは主にCookieを発行するドメインによる。
1)ファーストパーティーCookie
ファーストパーティーCookieは、閲覧しているWebサイトのドメインが発行する自社のCookieである。「ファーストパーティー(当事者)」の言葉のとおり、原則として閲覧しているWebサイトのドメイン上に限定して機能するのが特徴だ。そのため、ユーザーアカウントを元に連携させるツールなどを除き、原則としてユーザーのWebブラウザーやデバイスを横断して追跡することはできない。
2)セカンドパーティーCookie
セカンドパーティーCookieは、他社が保有するドメインが発行している他社のファーストパーティーCookieである。Webサイトの運営者とは別の事業者が保有するCookieであり、それをもとにしたデータはセカンドパーティデータとも呼ばれる。時に匿名化した状態でデータとして売買され、Webサイト内のコンテンツの最適化などに利用される。
2)サードパーティーCookie
サードパーティーCookieも、セカンドパーティCookie同様に閲覧しているWebサイトのドメイン「以外」が発行する第三者のCookieのことだ。具体的には、広告配信用のサーバーが発行するCookieなどが挙げられる。第三者が発行するCookieを用いることで、ドメインを横断してユーザーの行動を取得可能だ。
Cookieのデメリットや注意点
Cookieのデメリットや注意点について、以下の3つに分けて解説する。
1)プライバシー侵害
Cookieはユーザーにとっても企業にとっても利便性の高いものだ。しかし近年、行き過ぎたトラッキング(ユーザー行動の追跡)がプライバシー侵害として問題視されるようになった。
欧州で2018年から適用が始まったGDPR(EU一般データ保護規則:General Data Protection Regulation)では、Cookieも個人情報に該当するとして、発行・取得時に同意を得ることが義務付けられた。仮に、GDPRに違反した場合、企業・組織は巨額の罰金を支払わなければならない。2022年2月には、フランス当局がグーグル社に対して1億5千万ユーロもの制裁金を科す決定を下して話題になった。
こうした情勢の変化に対応すべく、主要なWebブラウザーであるChromeはCookie利用の廃止を発表。当初、2023年を目途に廃止するとしていたが、「2024年後半には段階的な廃止を開始する」と改めている。
内部記事リンク:トラッキングを許可しても大丈夫?セキュリティ的視点から解説
https://eset-info.canon-its.jp/malware_info/special/detail/200402.html
2)個人情報漏えいや不正アクセス
CookieにはWebサイトの閲覧履歴だけでなく、認証情報などの個人情報も保存されている。これらはセッションIDと紐づいてWebサーバー側にて管理されるものだ。そのため、Cookie情報が漏えいすると、セッションを乗っ取られる「セッションハイジャック」が起こる可能性がある。セッションハイジャックが起こった場合、ネットバンキングの不正利用など深刻な被害に発展するリスクがある。
内部記事リンク:セッションハイジャックはなぜ起こるのか?攻撃の仕組みと求められる対策
https://eset-info.canon-its.jp/malware_info/special/detail/230110.html
3)Cookie削除によるトラブル
先述のようにCookieの利用にはリスクも伴う。だからと言って、ユーザーがすべてのCookieを削除してしまうと、Webサービスの利便性は大きく損なわれる。例えば、ログイン画面で自動的に表示されるユーザーIDが表示されなくなる、あるいはECサイトのカートに保存する機能も無効化される。
オンラインで使用するオフィスソフトなどで入力した情報も一時的な保存ができなくなってしまう。さまざまなアプリ、ソフトウェアを並行して使う際にも、Cookieの恩恵にあずかる部分は少なくないのだ。
内部記事リンク:Cookieを削除するとどうなるのか?
https://eset-info.canon-its.jp/malware_info/special/detail/210921.html
Cookieのデメリットを認識した上で適切な対策を
Webサイト、Webサービスの利便性を最大限享受するためにも、Cookieのデメリット、リスクを認識した上で、適切な対策を講じるようにしたい。
1)Webブラウザーでのプライバシー設定
WebブラウザーにはCookieをはじめとしたプライバシー設定機能がある。例えば、Chromeの場合は「設定」から「プライバシーとセキュリティ」の項目を選ぶと、Cookieをどの程度受け入れるかの選択が可能だ。
2)端末でのプライバシー設定
スマートフォン(以下、スマホ)などのプライバシー設定を行うことで、過度なトラッキングを抑制できる。iOS 14.5から、アプリやWebサイトを通じてユーザー行動をトラッキングする場合は、「確認画面」が表示されるようになった。また、トラッキングの許可を後から一括設定、アプリ単位で個別に設定することも可能だ。
3)紛失や盗難に備えた端末のロック
ノートパソコンやスマホなどの利用には紛失や盗難のリスクが伴う。仮に盗難された場合、Cookieが保存されていることでネットバンキングなどへのアクセスを許してしまう危険性がある。そうならないためにも、端末のロックは欠かさず設定しておきたい。
4)セキュリティソフトの導入
セキュリティソフトの導入は、安全にインターネットを利用する上で必須と言える。いかにプライバシー設定をしていたとしても、端末そのものがセキュリティ侵害に遭えばCookie情報が漏えいし、なりすましによる詐欺被害などに遭遇するリスクも極めて高くなる。
ここで紹介した対策はいずれも難しい対策とは言えないはずだ。実状に応じて、可能な範囲から着手してほしい。