https://technow.grayrecord.com/tags/%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E8%AD%98%E5%88%A5/ Recent content in ユーザー識別 on Grayrecord Technow Blog https://technow.grayrecord.com/images/Grayrecord-technow.png https://technow.grayrecord.com/images/Grayrecord-technow.png Hugo -- 0.159.0 ja Wed, 04 Jun 2025 18:30:00 +0900 https://technow.grayrecord.com/post/meta-fucking-spy-technique/ Wed, 04 Jun 2025 18:30:00 +0900 https://technow.grayrecord.com/post/meta-fucking-spy-technique/ <p>このニュースは背筋が凍りました。</p> <p><a href="https://gigazine.net/news/20250604-meta-yandex-tracking/">MetaがロシアのYandexと同じ手口でユーザーの行動を追跡していたことが判明、何百万ものウェブサイトに「スマホのアプリと通信するコード」を埋め込んで追跡しておりブラウザの履歴を削除しても無駄</a></p> <p>通常、ウェブブラウザには「同一オリジンポリシー (Same-Origin Policy)」というセキュリティ機能があり、異なるオリジン（プロトコル、ホスト、ポートの組み合わせ）間でリソースを共有することを厳しく制限しています。Cross-Origin Resource Sharing (CORS) はこの制限を緩和するためのメカニズムですが、明示的な許可が必要です。</p> <p>Meta Pixel がこの規制をどのようにバイパスしたのか、最新の調査結果に基づいて説明します。</p> <h2 id="localhostソケットとwebrtcの悪用">localhostソケットとWebRTCの悪用</h2> <p>Meta PixelがCross-Originの規制をバイパスした主な手口は、以下の組み合わせにありました。</p> <ol> <li>localhostポートの利用:</li> </ol> <p>Metaが提供するAndroidアプリ（Facebook、Instagramなど）が、デバイス内の特定のローカルポート（例えば12580-12585）をサイレントにリッスンしていました。つまり、アプリがウェブサイトからの通信を受け入れる準備ができていたということです。</p> <p>ウェブサイトに埋め込まれたMeta PixelのJavaScriptコードは、モバイルブラウザ上で実行される際に、localhost (127.0.0.1) のこれらのポートに対して通信を試みました。</p> <p>localhostへの通信は、ブラウザの同一オリジンポリシーのスコープ外、またはその穴を突く形で行われました。ブラウザは、自身のデバイス内のローカルホストへの通信に対しては、比較的制限が緩い場合があります。</p> <ol start="2"> <li>WebRTC (Web Real-Time Communication) の利用:</li> </ol> <p>Meta Pixelは、WebRTCというリアルタイム通信プロトコルを利用して、_fbp Cookie（ブラウザを識別するファーストパーティCookie）などの追跡データをlocalhostのアプリに送信していました。 WebRTCは、ブラウザ間の直接通信や、ブラウザとローカルネットワーク内のデバイスとの通信を可能にするための技術であり、その機能がこの追跡に悪用された形です。特に、WebRTCのSDP (Session Description Protocol) というセッション情報をやり取りする部分が利用されたと報告されています（SDP munging）。</p> <ol start="3"> <li>アプリ側でのデータリンケージ:</li> </ol> <p>Androidアプリは、localhost経由で受け取った_fbp Cookieを、アプリにログインしているユーザーの永続的な識別子（Facebook IDなど）と紐付けました。</p> <p>これにより、ユーザーがブラウザでCookieを削除したり、シークレットモードを使ったり、Facebook/Instagramにログインしていなくても、そのウェブ閲覧履歴がMetaのユーザーアカウントに紐付けられて追跡されるという、従来のプライバシー保護メカニズムを回避する仕組みが実現されました。</p> <h2 id="metaとサイト運営者の責任">Metaとサイト運営者の責任</h2> <p>実際に、&quot;<a href="https://localmess.github.io/">Disclosure: Covert Web-to-App Tracking via Localhost on Android</a>&ldquo;という調査報告書をチェックすると、日本のドメインだけでも以下のリストに見られるようなウェブサイトがMeta Pixelを使用している惨状が明らかになります。これはほんの一部に過ぎません。</p> <ol> <li><a href="https://auctions.yahoo.co.jp/">https://auctions.yahoo.co.jp/</a></li> <li><a href="https://beauty.hotpepper.jp/">https://beauty.hotpepper.jp/</a></li> <li><a href="https://dmarket.docomo.ne.jp/">https://dmarket.docomo.ne.jp/</a></li> <li><a href="https://grapee.jp/">https://grapee.jp/</a></li> <li><a href="https://mechacomic.jp/">https://mechacomic.jp/</a></li> <li><a href="https://nlab.itmedia.co.jp/">https://nlab.itmedia.co.jp/</a></li> <li><a href="https://page.auctions.yahoo.co.jp/">https://page.auctions.yahoo.co.jp/</a></li> <li><a href="https://trilltrill.jp/">https://trilltrill.jp/</a></li> <li><a href="https://www.boatrace.jp/">https://www.boatrace.jp/</a></li> <li><a href="https://www.cmoa.jp/">https://www.cmoa.jp/</a></li> </ol> <p>この状況は、Metaだけでなく、<strong>サイト運営者にも重い責任</strong> があることを示しています。</p> <p>この惨状から、私は次のことを強く要求します。</p> <ul> <li>まず、<strong>Metaは今まで不法に採取したデータをすべて廃棄すること。</strong></li> <li>次に、<strong>サイト運営者はMetaから受け取った全ての違法データを廃棄すること。</strong></li> </ul> <p>これらが、ユーザーのプライバシーを守るために最低限必要な措置です。</p> <h2 id="楽天ad4u">楽天ad4U</h2> <p>今回のMeta Pixelの手口は、かつての「楽天ad4U」を想起させます。楽天ad4Uも一種の行動ターゲティング広告で、Adobe Flashオブジェクトの中に数千個のURLへのリンクを埋め込み、それぞれのURLを訪れた形跡があるか否かをCSSの色判定で調べる手口でした。</p>