近年、フィンガープリントによる高精度な個人識別が問題となっています。フィンガープリントという言葉自体は様々な意味を持ちますが、インターネット上のブラウザから取得できる、クッキーレスフィンガープリントのことを指すことが多くなっています。この記事では、フィンガープリントの一般的な使われ方と、クッキーレスフィンガープリントの詳細、フィンガープリントによる個人特定を防ぐ方法について、わかりやすく解説しています。
フィンガープリントの意味
フィンガープリントという言葉は、様々な意味で使われています。ここでは、IT業界を中心とした使われ方の違いについて解説します。
フィンガープリントとは
「フィンガープリント(fingerprint)」とは「指紋」のことですが、様々な分野で「個人や物を識別するための特徴」という意味で使われています。
これはその例です。
- 化学フィンガープリント
- DNAフィンガープリント
- 音響フィンガープリント
- ICフィンガープリント
- 画像フィンガープリント
- 環境フィンガープリント
- 薬物フィンガープリント
- 古物フィンガープリント
以下では、IT分野に限定した、フィンガープリントの意味について解説します。
生体認証・指紋認証
「指紋認証(Fingerprint Authentication)」は、フィンガープリントの本来の使い方と言えます。
指紋は、生体認証の中で最初に実用化されたので、他の生体認証の方式も「◯◯指紋」などと言われることがあります。
実用化されている生体認証としては、下記のようなものがあります。
- 指紋認証
- 顔認証
- 音声認証
- 虹彩認証
- 網膜認証
- 静脈認証
- 手のひら認証
その他、研究レベルも含めると、たくさんの方式があります。
- 署名
- キーストローク
- 歩容
- 耳の形
- 頭蓋骨
- 体臭
- DNA
- 心拍
- 脳波
- 顔熱
- 皮膚パターン
- 指関節
- 咀嚼音
メディアフィンガープリント
メディアフィンガープリントとは、音声、画像・動画などのコンテンツから特徴を抽出し、識別する技術です。
主に、著作権保護やコンテンツ管理に使用されます。
以下のような情報が抽出されます。
- 音声:周波数スペクトル、リズム、ピッチ、など
- 画像:エッジ、テクスチャ、色ヒストグラム、など
- 動画:エッジ、テクスチャ、色ヒストグラム、など
デバイスフィンガープリント
デバイスフィンガープリントは、PC・スマホ・タブレットなどの固有の特徴を収集して、特定のデバイスを一意に識別する技術です。
下記の、ソフトウェアフィンガープリントやネットワークフィンガープリントも、デバイスフィンガープリントに含められることがありますが、ここでは分けてご紹介します。
- CPUの種類
- GPUの種類
- 画面の解像度
- 画面の色深度
- 画面のリフレッシュレート
- 画面の向き
- カメラの有無
- マイクの有無
- タッチパネルの有無
- オーディオデバイスの情報
- ハードディスクの空き容量
ソフトウェアフィンガープリント
一般的にソフトウェアフィンガープリントと言った場合、以下のような情報があります。
- アプリの種類、バージョン
- ライブラリ
- 設定ファイル
- ハッシュ値
- メタデータ
ブラウザフィンガープリント
インターネット接続した際に、ブラウザから取得できる情報を、特にブラウザフィンガープリントと言って区別することがあります。
- OSの種類、バージョン
- ブラウザの種類、バージョン
- インストールされているプラグイン
- インストールされているフォント
- 言語設定
- タイムゾーン
- クッキーの設定
- Do Not Trackの設定
- 画面情報
- Canvas情報
- WebGL情報
ネットワークフィンガープリント
ネットワークフィンガープリントとは、デバイスが通信した時に正規にやり取りされる情報や、そのパターンから推測される情報などを組み合わせて、通信デバイスを一意に識別する技術です。
以下のような情報があります。
- IPアドレス
- MACアドレス
- ポート番号
- プロトコル
- パケットサイズ
- 接続時間
- 接続頻度
クッキーレスフィンガープリントの意味と対策
近年、フィンガープリントを用いて個人を識別する手法が問題となっています。ここでは従来のクッキーを用いた方法と、クッキーレスの方法の違い、特定されることを防ぐ方法について解説します。
クッキーとは
クッキーとは、ユーザーがウェブサイトにアクセスした時に、ブラウザによって保存される小さなデータファイルのことです。このデータファイルには、ユーザーを識別するID、訪問履歴、設定情報などが書き込まれています。
クッキーには、主に次のような利用目的があります。
- ログイン状態の維持
- 設定情報の保持
- ショッピングカートの内容保持
- アクセス解析
- ターゲッティング広告
クッキーの規制
クッキーはユーザー体験を向上させますが、プライバシーの侵害や、仕組みを悪用されることによるセキュリティ上の懸念、ユーザーがトラッキングされることを不快に感じるなどの理由から、法規制がすすみました。
以下は、代表的な規制です。
GDPR(General Data Protection Regulation)
- 地域:EU
- 施行:2018年
ウェブサイトの運営者は、ユーザーにクッキーの種類や目的について説明し、同意を得る必要があります。
また、ユーザーが簡単に同意を撤回できるようにする必要があります。
CCPA(California Consumer Privacy Act)
- 地域:カリフォルニア州
- 施行:2020年
ウェブサイトの運営者は、ユーザーにデータ収集の目的、収集されるデータの種類、データの共有先を通知する必要があります。
またユーザーは、自分のデータ第三者にが販売されることを拒否する権利があり、サイト運営者はその要求に対応する必要があります。
LGPD(Lei Geral de Proteção de Dados)
- 地域:ブラジル
- 施行:2020年
ウェブサイトの運営者は、ユーザーにクッキーの使用目的、収集されるデータの種類、データの共有先を通知する必要があり、クッキーの取得には明示的な同意が必要となります。
クッキーレスフィンガープリントとは
クッキーが法規制されたり、ブラウザが標準でブロックしたりする一方で、クッキー無しで個人を識別する手法の研究が進みました。
これは、上記で紹介したようなデバイス、ブラウザ、ネットワークフィンガープリントを組み合わせる手法で、クッキーレスフィンガープリントとも言われます。
具体的には、下記のような情報があります。
- USER AGENTヘッダー
- HTTP ACCEPTヘッダー
- インストールされているプラグイン
- タイムゾーン
- 画面サイズ、色深度
- システムフォント
- クッキーを許可するか
- DoNotTruckを許可するか
- CANVASハッシュ
- WebGLハッシュ
- 広告ブロックを使用しているか
- 言語設定
- OS
- タッチパネルがあるか
- CPU
- メモリ
- オーディオカードの特性
これらは、ブラウザでページを表示するために必要な項目ですが、組み合わさることで、個人をかなり高い精度で識別することができます。
どの程度の精度かというのは研究によって異なりますが、一説によると、完全一致するのは数百万人に一人しかいないとされています。
皮肉にも、「クッキーを拒否します」という設定自体が、識別の精度を高める要素となっています。
クッキーレスフィンガープリントは、法の抜け穴のようになっており、プライバシーの侵害を懸念する声が高まっています。
自分のフィンガープリントを確認する方法
自分のフィンガープリントを調べるには、EFF(Electronic Frontier Foundation)が提供する、「Cover Your Tracks」が便利です。
ブラウザで上記サイトを開き、「TEST YOUR BROWSER」をクリックしてください。しばらく待つと結果が表示されます。
ちなみにChromeでテストしたところ、過去45日間でテストした17万人の中で唯一のフィンガープリントという結果となりました。
Braveのシークレットモードでテストしたところ、高度な手法を使ったら別だけど、基本的には分からないという結果となりました。
フィンガープリントで特定されることを回避する方法
フィンガープリントによる個人識別を、なるべく防ぐ方法をご紹介します。
プライバシー重視のブラウザ
近年、プライバシー保護を重視したブラウザが多数発表されています。
代表的なブラウザとして、Torや上記でも使用したBraveがあります。
ブラウザの設定
ChromeやEdgeのような定番ブラウザにも、サードパーティクッキーやトラッキングを拒否する機能がありますので、設定から確認してみましょう。
ブラウザののプライベートモード・シークレットモード
またブラウザには、プライベートモードやシークレットモードと呼ばれる、プライバシー保護を重視した機能があります。
セッション情報を破棄するという意味合いが強いので、フィンガープリントに対してはそこまで有効な対策とはなりませんが、使用しないよりはマシとなります。
ブラウザの拡張機能
トラッキングをブロックしたり、フィンガープリントをランダム化したりする拡張機能も存在します。
ただし、怪しげな拡張機能も多いので、注意が必要です。
ここでは上記のEFFが提供する「Privacy Badger」だけご紹介させていただきます。
クッキーとキャッシュクリア
クッキーレスフィンガープリントが問題なっている一方で、クッキーは依然として使用されています。
定期的にクッキーとキャッシュを削除することをおすすめします。
複数デバイス・仮想デバイス
1台だけでなく、複数のデバイスを使い分けることで、フィンガープリントによる特定を防ぎます。
さらに、仮想環境を使用してブラウジングがおこなうことができれば、より特定を困難にできます。
VPN
上記は主にデバイスとソフトウェアのフィンガープリントで、ネットワークについては含まれていません。
IPアドレスを隠すことができる、VPNと組み合わせて使用することが効果的です。
NordVPNであれば、二重VPNやプライベートモードDNSによって、プライバシーをより強固に保護することができます。
