Chromeがユーザーに誤解をさせるような形で一部のサイトにおいてサードパーティ・クッキーのような仕組みを導入します

Summary

この記事では、2024 Internet Measurement Conferenceで発表されるGoogleのRelated Website Sets機能のプライバシー侵害とリスクに関する研究を紹介します。Related Website Setsは、サードパーティ・クッキーを廃止によってプライバシーが向上するはずが、それを一部覆すものであること、そして、このプライバシーへの悪影響（同じ組織によって運営される2つの異なるサイトによる情報共有、など）を再び導入するGoogleからの説明が、潜在的にはほとんどのWebユーザにとって現実的ではないこと、この二つの点をこの調査で発見しています。この調査は、プライバシー上のリスクを理由にこの機能を拒否する他のブラウザの決定を支持し、Related Website SetsがChromeユーザーにもたらすリスクを明らかにするものです。

この研究は、セント・アンドリュース大学、インペリアル・カレッジ・ロンドン、香港科学技術大学（GZ）、Brave Softwareの研究者によって行われました。この投稿は、プライバシー研究員主任のPeter Snyderによる投稿の日本語訳です。

背景: Related Website Sets と サードパーティ・クッキー

Related Website Sets (RWS)は最近追加されたChromeの機能で、サードパーティ・クッキーの終了を見越してGoogleが提唱したものです。サードパーティー・クッキーによるプライバシーとセキュリティの害は十分に文書化されており、すべての主要なWebブラウザがサードパーティー・クッキーをブロックするか、そうする計画を発表しています（Googleは再び、予定されていた廃止日を延期しましたが）。

Googleによると、Related Website Setsはサードパーティー・クッキーによる大規模なプライバシー侵害を回避しつつ、ユーザーに利益をもたらすためにサードパーティー・クッキーのような振る舞いを実現するそうです。しかし実際には RWSの目的は、（例えば）YouTubeにログインしていないときでも、またChromeでサードパーティー・クッキーが非推奨になった後でも、GoogleがYouTubeで視聴したビデオをGoogleプロファイルにリンクできるようにすることなのです。この投稿でお伝えする調査では、RWSに関するGoogleの動機を提示し、評価しますが、核心的な真実は、RWSが広告主に奉仕するために存在するということです。

RWSの背後にある大まかな考え方は、2つの異なるサイトが同じ組織によって運営されている場合（例えば、instagram.comとfacebook.comは両方ともMetaによって運営されています）、ユーザーはすでに両方のサイトが互いに情報を共有することを期待しているため、ブラウザが2つのサイト間でサードパーティのクッキーをブロックする必要はないということです。

別の例え方をすると、RWSの動機は次のようなものです：お母さんに秘密を打ち明け、その秘密をお父さんに隠そうとするのは意味がない。両親は互いに全ての情報を共有することを想定しておくべきだ。

RWSは、Webのプライバシーモデルをユーザーに反する形で弱体化させるものであり、ユーザーのプライバシーを損ない、明らかにWebサイトと広告主に利益をもたらすように設計されています。Googleは、プライバシーの例外が「サイトの互換性の問題」を解決したり、関連するドメイン間でユーザーを「ログイン」させておくのに役立つため、RWSは実際にユーザーに利益をもたらすと主張します。しかし、実際のRelated Website Setsの例外リストをざっと見てみると、こうしたユーザーに有益な使用例とは無関係な例が数多くあり、これらのサイトはRWSを実装していないブラウザ（つまり、他のほとんどすべてのブラウザ）でも正しく動作します。

実際にはRelated Website Setsの主な動機は、ユーザーの不利益によって広告主に利益をもたらすこと（または、Googleが婉曲的に言うように、「パーソナライズされたコンテンツを表示する」こと）です。Chromeの包括的な「プライバシーサンドボックス」提案にあるユーザーにとって有害で不必要に複雑なその他多くの選択肢と同様に、RWSは、Googleがサードパーティ・クッキーを（最終的に）非推奨にした後も、Chromeが広告主のニーズを最優先にし続けるようにするために存在します。

研究概要：ユーザーは（当然ながら）サイト同士の関連性を想定していない

この研究では、RWSがWebプライバシーに与える影響について、RWSの根本的な前提が正しいかどうかを検証することから考察しました。より具体的には、Webユーザーが2つの異なるWebサイトを提示された場合、ChromeのRWSリストによって定義された既存のサイト関係を考慮した上で、2つのサイトが互いに関連しているかどうかをどれだけ正確に判断できるかということです。

一般的に、Webユーザーは2つのサイトが互いに関連しているかどうか（関連サイト・セット機能によって判断される）を正確に判断できないことがわかりました。我々はソーシャルメディアを通じて募集した30人のWebユーザーを対象に調査を実施し、それぞれに20組のWebサイトペアを提示しました。Webサイトのペアは、Related Website Setsリスト（つまり、Googleが「関連」サイトとして指定し、プライバシー保護を軽減することを保証しているサイト）と、人気のあるWebサイトのTrancoリストの両方からランダムに選ばれました。各ユーザーは、様々なペアのWebサイトを提示され、サイトを閲覧し、2つのサイトが同じ組織によって運営されていると思うかどうかを回答します。その結果、ユニークなWebサイトのペアが関連しているかどうか、430の回答が集まりました（30人のユーザーの中には、提示された20のWebサイトのペアすべてに答えを出さなかった人もいました）。

私たちは、どのサイトが関連しているかというユーザの予想が、しばしばRelated Website Setsリストと一致しないことを発見し、その結果、RWS機能は、ユーザが予想できなかった多くのケースで、サードパーティのクッキーのような動作を再有効化しました。私たちの調査では、2つのサイトが互いに関連しているかどうかについて、大多数のユーザー（～73%）が少なくとも1回は誤った判断を下し、調査中に行われた判断（つまり、すべてのユーザーからのすべての判断）のほぼ半分（～42%）が誤っていました。最も問題なのは、（RWS機能に従って）両方のサイトが関連していたケースのうち、ユーザーは37％の確率でそのサイトが関連していると推測できなかったことです。

このことから、私たちはRWSの根底にある前提が根本的に間違っていると結論付けます。Webユーザーは（当然のことながら、予想通り）2つのサイトが同じ組織によって所有されているかどうかを正確に判断することができません。そしてその結果、RWSはまさにサードパーティ・クッキーが引き起こすプライバシー侵害を改めて導入しているのです。

研究参加者が不勉強であるとか、この研究を真剣に受け止めていないと批判する人がいないように、自分自身で考えてみましょう。次のサイトのペアの中で、関連性のあるパターンはいくつあるでしょうか？

1. hindustantimes.com と healthshots.com

2. vwo.com と wingify.com

3. economictimes.com と cricbuzz.com

4. indiatoday.in と timesofindia.com

覚えておいてほしいのは、ユーザーはリンクをクリックする前に、2つのドメインが関連しているかどうかを判断する必要があるということです。クリックしてサイトが読み込まれた時点で、情報の共有と追跡はすでに行われてしまいます。

結論として、RWSはユーザのプライバシーに有害であり、サードパーティのクッキーを削除することによってWebが回避できる種類のプライバシーの問題を再びもたらすことがわかりました。論文の全文は 2024 Internet Measurement Conferenceで発表される予定です。

(上のクイズで 4つ全てが関連していると回答した方は、残念ながら不正解です。実はこの4つのペアの中で唯一「関連」がないとされているペアがあります)。

Related Website Setsによるさらなるプライバシー侵害

しかし、ユーザー調査の結果以上に、私たちはRWSのより根本的なプライバシーの問題に注目しています。RWSは、2つのサイトが互いに関連しているならば、ブラウザがその2つのサイト間のプライバシー保護機能を低減しても無害である（あるいは、少なくとも「許容できる」）という考え方なのです。あるいは、先ほどの例えに戻れば、ママがすでに知っていることなら、パパに伝わっても問題はない、ということです。

この仮定は間違っています。最新のWebブラウザは、異なるメールアドレスと情報で登録すれば、（例えば）MetaがあなたのFacebookアカウントとInstagramアカウントが同一人物によって所有されていることを知ることを完全に防ぐことができます。実際、これは現在のほとんどのWebブラウザのデフォルトの動作であり、一般的な利用者をターゲットにしたブラウザ（Brave、Firefox、Safariなど）も、特殊な利用者をターゲットにしたブラウザ（Tor Browsers、Icefoxなど）も同様です。同じ認証情報を使って2つの異なるサイトにアカウントを登録しない限り、最新のブラウザは、同じ組織が運営する2つのサイトが、それらのサイト間であなたの行動をリンクするのを絶対に防ぐことができます。言い換えれば、モダンなWebブラウザは、ママがパパにあなたの秘密を漏らすことを防ぐことができるのです。

最後に、一部の企業がWebブラウザのプライバシー保護を回避し、同じ組織が運営する2つのサイト間でお客様のアカウントをリンクさせようと試みている例はこれまでもありました。リンク・デコレーションやバウンス・トラッキングのようなテクニックを使って、あなたを追跡し続けようとするサイトもあります。しかし、プライバシーを尊重するブラウザ（リンク・デコレーションやバウンストラッキングの保護を含む）とChrome（クロスサイトリンクを許可するように明確に設計されている）のここでの違いは、決定的です。あるブラウザは、組織によるサイト間のトラッキングを防ぐテクニックを試しており、またあるブラウザは、そのようなトラッキングを許可する明確な意図を持って機能設計をしています。

結論

結論として、RWSはWebプライバシーにとって有害であることがわかりました。

第一に、RWSはユーザーがどのサイトが互いに関連しているかを予想できることを前提としているが、実際にはユーザーからは予想できません。

第二に、RWSはユーザーが2つのサイトが同じ組織によって運営されているかどうかを判断する前に、プライバシーに害をもたらします。ユーザーが2つのサイトが互いに関連しているかどうかを判断するためにWebページを閲覧できるようになる頃には、プライバシーへの害はすでに発生しており、Webサイトは境界を越えてユーザーを追跡する機会を得ているのです。

そして第三に、RWSはプライバシーに有害な前提を、排除するのではなく、Webプラットフォームに定着させています。RWSは、もしひとつの組織が別々の2つのサイトを所有しているならば、その組織はその2つのサイトにわたってあなたを追跡することは問題ないと仮定しています。対照的に、プライバシーを尊重するブラウザは逆の方向に進み、どの組織が所有しているかにかかわらず、すべてのサイトがあなたを追跡することを防ごうとします。

Related Website Setsに関するその他の懸念点

WebはRelated Website Setsを拒否する

Related Website Setsは一般的なWebの提案として提示されているが、実際のところ、Webのほとんどがすでに検討し、拒否しています。Brave、Firefox、Safariを含むほとんどのブラウザは、Related Website Sets（以前はFirst-Party Setsと呼ばれていた）はユーザーにとってもWebにとっても悪いものだと考えているとアナウンスしています。この提案はW3C Privacy Community Groupから削除され、W3Cのプライバシーに焦点を当てた様々なグループではもはや検討されていません。

Webサイトがいつ変わってしまうのか

リストのドメインが変更された場合はどうなるのでしょうか？これは、Webの歴史の中であらゆる種類の「ドメインに信頼を与える」提案に共通する懸念です。ドメインA、B、Cが今日同じ組織によって運営されているからといって、それらが明日も同じ組織によって所有されているという保証はまったくありません。

まさにこの種の仮定によるセキュリティやプライバシーの攻撃は「信頼できる」関係者から悪意のある関係者に販売されたブラウザ拡張機能や、人気のあるソフトウェア・ライブラリ／依存関係が悪意のある者に乗っ取られた場合に起きています。

広範な懸念は、これらのサイトがリストに含まれる時点で有意義な関連性を持っていたとしても、（多くの場合、知らないうちに）変わったときにそれらを削除するメカニズムがないことにあります。

言語／知覚に関する懸念

前述したように、RWSの根本的な正当性は（薄弱ではあるが）ユーザーが同じ組織によって運営されていると認識できるところにあります。我々の研究では、英語圏のユーザーが英語のサイトを評価する場合でさえ、Googleがどのサイトを関連性があると判断するか、ユーザーは予測できないことがわかりました。この問題は、（もちろん）人々が自分が話さない言語のサイトを訪問する場合、より深刻になります。

タイミング

RWSの背後にある直感は、ユーザーがサイトBがサイトAに関連しているかどうかを判断し、その配置が受け入れられる場合にのみサイトBを訪問することができるというものです。しかし、これはキャッチ22のようなものです。サイトBがサイトAに関連しているかどうかを判断するためには、サイトBを訪問し、これらのサイト間の関係を示す「共有ブランドまたはロゴ」（または同様のもの）を見る必要がありますが、いったんサイトをロードして見てしまうと時すでに遅しで、パーソナルな情報は2つのサイト間で共有されてしまいます。