サードパーティCookie廃止後のトラッキング技術、プライバシーとセキュリティの新たな攻防

背景

Googleが2024年にサードパーティCookieの段階的廃止を発表し、プライバシー保護の観点から広告業界やWeb技術に大きな変革が起きています。しかし、この変化は同時に、攻撃者が新たなトラッキング・フィンガープリンティング技術を悪用する機会も生み出しています。サードパーティCookieに代わる「Privacy Sandbox」などの技術や、ブラウザフィンガープリント、Canvas Fingerprinting、WebRTCを利用したIPアドレス取得など、より巧妙なユーザー追跡手法が登場しており、企業の情報セキュリティ担当者は、これらの技術がマルウェア配信、標的型攻撃の偵察、セッションハイジャックなどに悪用されるリスクに備える必要があります。特に、従業員がブラウザ経由で業務を行う現代において、ブラウザのセキュリティとプライバシーは企業防御の最前線となっています。

実態

サードパーティCookie廃止後、攻撃者は「ブラウザフィンガープリンティング」と呼ばれる技術を活用しています。これは、ブラウザの種類・バージョン、画面解像度、インストールされているフォント、プラグイン、タイムゾーン、言語設定、Canvas要素のレンダリング結果、WebGL情報、AudioContextの特性など、数十から数百の属性を組み合わせることで、個々のユーザーを一意に識別する手法です。Cookieのように削除できないため、ユーザーは追跡されていることに気づきにくく、プライバシーモードやCookie削除を行っても追跡が継続します。攻撃者はこの技術を使って、標的企業の従業員を長期間追跡し、アクセスパターンや利用サービスを分析して標的型攻撃の準備を行います。また、ETag（HTTPヘッダー）やCache-Control、LocalStorageなどを悪用した「スーパーCookie」と呼ばれる永続的トラッキング手法も確認されています。さらに、WebRTCの脆弱性を突いて、VPN使用中であってもユーザーの実際のIPアドレスを取得する「WebRTC Leak」攻撃も存在し、匿名性を前提とした調査活動や機密業務が露見するリスクがあります。

影響と対策

これらの新しいトラッキング技術は、従業員の行動パターン分析、標的型フィッシングの精度向上、セッションハイジャック、さらには内部情報の推測などに悪用される可能性があります。対策としては、まず企業として推奨ブラウザを標準化し、プライバシー保護機能を強化した設定（Firefox Enhanced Tracking Protection、Brave Shields、Safari Intelligent Tracking Preventionなど）を適用することが有効です。また、ブラウザ拡張機能の管理を徹底し、不要な拡張機能やトラッキング機能を持つツールのインストールを制限します。FortiGateやCheck PointのセキュアWebゲートウェイ機能では、フィンガープリンティングスクリプトを配信する既知のドメインをブロックしたり、WebRTC通信を制御したりすることが可能です。また、重要な業務においては、専用のセキュアブラウザ（Chromium Enterpriseのポリシー管理、仮想ブラウザ環境など）を利用し、トラッキングリスクを最小化することも検討すべきです。さらに、ゼロトラストの観点から、ブラウザ経由のアクセスであっても端末の健全性を継続的に検証し、異常なブラウザ挙動を検知する仕組みの導入が推奨されます。

まとめ

サードパーティCookieの廃止は、プライバシー保護の観点では前進ですが、同時に新たなトラッキング技術の台頭という副作用も生んでいます。ブラウザは業務の主要なインターフェースであり、そのセキュリティとプライバシーの確保は企業防御の基盤です。技術の変化を理解し、先回りした対策が不可欠です。PSIでは、ネットワーク製品を活用したブラウザセキュリティの強化、トラッキング技術への対抗策、そしてゼロトラストブラウザアクセスの実現をご支援いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp