ブラウザーでCookieを許可するかどうかを尋ねるWebサイトのバナーを、見たことがない人はいません。しかし、これが何を意味していて、Cookieが何なのか、正確にご存じでしょうか。Cookieは、現代のインターネット体験では不可欠なものです。Webサイトの閲覧に必要なものの一部として、Web開発者がよりユーザー個人に特化した便利なWebサイトアクセスを提供するのにCookieは貢献しています。端的に言えば、CookieがあるからWebサイトはユーザー自身、ユーザーのログイン、ショッピングカートなどを覚えているのです。同時に、Cookieは個人情報の宝庫であり、ユーザーのプライバシーに深刻な脆弱性をもたらす可能性があります。
オンラインでプライバシーを保護するのは大変です。しかし、Cookieの基本的知識があるだけでも、自身のインターネット上での活動を保護することが可能になります。ほとんどのCookieに危険性はまったくありませんが、一部はサイバー犯罪者がユーザーの同意なしにその人を追跡するために使用している可能性があります。この記事では、Cookieの仕組みと、オンラインでの安全を維持する方法を紹介します。
インターネットCookieとは
Cookie(多くの場合、インターネットCookieとも呼ばれます)は、ユーザー名やパスワードなどの少量のデータを含むテキストファイルで、ネットワークの使用時にコンピューターを特定するために使われます。特定のCookieは特定のユーザーの識別とWebの閲覧体験の向上に使用されます。Cookieに保存されるデータは接続時にサーバーによって作成されます。このデータはユーザーとユーザーのコンピューターに固有のIDでラベル付けされています。Cookieがユーザーのコンピューターとネットワークサーバー間で交換されると、サーバーがそのIDを読み取り、そのユーザーに適切な情報が何かを認識します。
EUの一般データ保護規則(GDPR)のような国際的な法律、カリフォルニア州の消費者プライバシー法(CCPA)などの特定の州や国の法律により、多くのWebサイトでは、現在、ブラウザーでCookieを使用するには、ユーザーに許可を求め、ユーザーが許可した場合のCookieの使用方法に関する情報を提供する必要があります。
マジックCookieおよびHTTP Cookie
すべてのCookieは一般的に同じ方法で機能しますが、適用されるユースケースは異なります。
マジックCookieは、データを変更せずに送受信される情報のパケットのことを指す古いコンピューター用語です。これは企業内部ネットワークなどの、コンピューターのデータベースシステムにログインするために使用されます。このコンセプトは、私たちが毎日使用する現代的な「Cookie」よりも古いものです。
HTTP Cookieは「マジックCookie」を別の目的で使っているバージョンで、現代のインターネット閲覧用に構築されました。1994年、Webブラウザーのプログラマー、Lou Montulli氏が、オンラインショッピングストアのオーバーロードしたサーバーの修復を手伝っていたときに、「マジックCookie」からインスピレーションを得て、HTTP Cookieを作成しました。HTTP Cookieは一般的に、私たちが現在Cookieと呼んでいるものを指します。また、一部のサイバー犯罪者が他者のオンライン活動を探り、個人情報をハッキングするのに使用している可能性もあります。
HTTP Cookieとは何か
HTTP CookieはインターネットCookieとも呼ばれ、Webブラウザーが各ユーザーのセッションを追跡、パーソナライズ、情報の保存をすることを目的に構築されています。「セッション」とはサイトで費やす時間の総計を定義するために使用される単語です。Cookieはユーザーが新しいWebサイトを訪問すると、そのユーザーを特定するために作成されます。Webサイトのデータを保存するWebサーバーは、識別情報の短いストリームをCookieの形式でWebブラウザーに送信します。この識別データ(「ブラウザーのCookie」と呼ばれることもあります)は、「名前 - 値」のペアで処理され、読み取られます。このペアはCookieに送信先と呼び出すべきデータを指定します。
では、Cookieはどこに保存されるのでしょうか。その答えは簡単です。Webブラウザーがユーザーを識別する「名前 - 値」のペアをおぼえておくために、Cookieをローカルに保存します。次に、そのWebサイトに戻ると、WebブラウザーがそのCookieデータをWebサイトのサーバーに戻し、過去のセッションからのデータの呼び出しをトリガーします。
要するに、Cookieは手荷物一時預かりのチケットを受け取るようなものなのです。
- 「コート」をクロークの受付に渡す。Webサイトに接続・アクセスすると、ひとまとまりのデータが、Webサイトのサーバー上で個人にリンクされます。このデータは、個人アカウントであったり、ショッピングカートであったり、あるいは閲覧したページのみであったりします。
- 「コート」の所有者を個人と特定する「チケット」をもらう。(データを含んでいる)Cookieが個人に渡され、Webブラウザーに保存されます。これには個人に特化した固有のIDが含まれます。
- 戻ってきたときに、「コート」を「チケット」で受け取れる。Webサイトに再度アクセスすると、ブラウザーがWebサイトにCookieを戻します。WebサイトはCookie内の固有のIDを読み取って、活動データを組み立てます。そして、一度もそこから離れたことがないかのように、前回閲覧した場所に戻ります。
Cookiesを使用する目的
WebサイトはHTTP Cookieを使って、ユーザーのWeb体験を効率的にします。Cookieがなければ、サイトから離れて再アクセスするたびにログインしなければなりませんし、買い物中にページを閉じてしまったら、ショッピングカートに商品を入れ直さなければなりません。Cookieの構築は、現代のインターネット体験の重要な一要素なのです。
もっと簡潔に説明すると、Cookieは次のような目的に使用されます。
- セッション管理:WebサイトはCookieを使用して、ユーザーを識別し、それぞれのログイン情報や好み(たとえばスポーツニュースと政治のどちらが好きか)などを保存しておくことができます。
- パーソナライゼーション:セッションをパーソナライズして、広告をカスタマイズすることがCookieを使用する主な目的です。サイトの特定の項目や一部を表示させると、Cookieがこのデータを使用してユーザーが好みそうな的を絞った広告の作成に活用します。また、言語設定にも使用されます。
- 追跡:ショッピングサイトでは、Cookieを使用してユーザーが以前に表示した商品を追跡します。こうすることで、ユーザーがそのWebサイトの別の場所でショッピングを続ける間、ショッピングカートに商品を入れておいたままにしたり、ユーザーが好みそうな別の商品をおすすめしたりすることができます。さらに、ページの閲覧回数や滞在時間などのパフォーマンス分析の追跡および監視をします。
これらは主にユーザーのメリットになりますが、Web開発者もこの設定から多くのメリットを得ています。CookieはWebサイトのサーバーのストレージ領域を解放するために、ユーザーの端末にローカルで保存されます。そのため、Webサイトはコンテンツをパーソナライズしながら、サーバーのメンテナンスとストレージコストを削減できます
HTTP Cookieの種類
バリエーションはありますが(後半で説明します)、サイバー界のCookieは本質的に、セッションCookieと永続Cookieの2つに分けられます。
セッションCookieは、Webサイトの閲覧中にのみ使用されるもので、ハードディスクには書き込まれずRAMに保存され、セッションが終了すると自動的に削除されます。セッションCookieは、「戻る」ボタンや、セッションが終了すると、自動で削除されます。
一方、永続Cookieは、コンピューター上に永続的に保持されます。ただし、その多くには有効期限があり、期限の日付が来ると自動的に削除されます。永続Cookieは、主に次の2つの目的で使用されます。
- 認証:ユーザーのログイン状態と、そのユーザー名を追跡します。また、ログイン情報を効率的に利用することで、ユーザーはサイトのパスワードを記憶する必要がなくなります。
- トラッキング:長期間にわたって同じサイトへの複数回のアクセスを追跡します。たとえば、一部のオンラインショップはCookieを使用して、ユーザーが表示したページや商品など、特定のユーザーのアクセスを追跡しており、オンラインショップは収集した情報を利用して、対象のユーザーが興味を持ちそうな他の商品を提案することができます。また、サイトの閲覧履歴をベースにして、ユーザーのプロファイル情報が少しずつ蓄積されていきます。
ファーストパーティ対サードパーティCookie
ここからは、インターネットCookieをさらに、ファーストパーティとサードパーティの2つのカテゴリに分けます。Cookieの出所によっては、潜在的に脅威になる場合があります。
ファーストパーティCookieは、ユーザーが使用しているWebサイトによって直接生成されます。評判が高いWebサイトや、データ侵害やサイバー攻撃で最近不正アクセスされていないサイトを閲覧している限り、概して安全です。
サードパーティCookieは比較的厄介です。サードパーティCookieは、ユーザーが現在閲覧しているページとは異なるWebサイトによって生成されたもので、通常は、そのページに表示されているリンク先の広告のものです。サードパーティCookieを使用する広告主や分析企業は、Web上にある自社の広告が掲載されたサイトについて、ユーザーが閲覧した履歴を個別に追跡できます。しかし、前述したように、近年のデータ保護法により、サードパーティCookieによるブラウザーへのアクセスの許可は多くの国や州で選択制になっています。最近では、多くのブラウザーがサードパーティCookieを段階的に廃止しつつあるので(GoogleはChromeでのサードパーティCookieを2024年までに終了することを発表しています)、ほとんどのサードパーティCookieはユーザーの閲覧体験に直接的に影響しません。多くのWebサイトはサードパーティCookieを使用しなくても、依然として適切に動作し、ユーザーの好みをおぼえています。
ゾンビCookieはサードパーティの永続Cookieの一種で、ユーザーのコンピューターに永遠にインストールされたままになります。ゾンビCookieには、コンピューターから「削除」されても再び現れる特殊な能力があります。これらは「フラッシュCookie」または「スーパーCookie」とも呼ばれ、削除は非常に困難です。ゾンビCookieは他のサードパーティCookieと同様に、Web分析企業が個人の閲覧履歴を追跡するために使用される場合があります。また、特定のユーザーからのWebサイトのアクセスを禁止するために使用されることもあります。さらに、この種のCookieがハッカーによって偽装され、システムをウイルスやマルウェアに感染させるために使用される場合もあります。
エッセンシャルCookieは、初めて訪れたWebサイトで、Cookieの設定を確認するポップアップと同義になりました。エッセンシャルCookieはファーストパーティのセッションCookieで、Webサイトやユーザーがオンラインでリクエストしたサービス(ログイン資格情報の記憶など)の実行に必要です。
Cookieの有効化および削除
一部のCookieは、インターネット体験のオプションにすることが可能です。たとえば、コンピューターやモバイル端末に残すCookieを制限できます。現在は、これは一般的なもので、Webサイトにアクセスすると、サードパーティ(またはその他の)Cookieを有効にするかどうかの選択肢が与えられます。
Cookieを有効にして許可すると、インターネットサーフィンの体験が効率化されます。Cookieを許可する方法は次の通りです。
- Cookieのセクションを探します(通常は[設定]-[プライバシー]の下にあります)。
- Cookieを許可するボックスをオンにします。Cookieではなく「ローカル」データとなっている場合もあります。
- Cookieが不要であれば、これらのボックスをオフにするだけです。
Cookieを削除すると、プライバシー漏洩のリスク低減に役立ちます。ブラウザーの追跡やパーソナライゼーションをリセットすることもできます。通常のCookieの削除は簡単ですが、一部のWebサイトの閲覧では操作性が損なわれる場合があります。たとえば、Cookieを利用しない場合、インターネットユーザーはアクセスのたびに自分のアカウントデータを再入力するよう求められる場合があります。Cookieの保存場所はブラウザーごとに異なりますが、通常では以下のような方法です。
- [設定]、[プライバシー]セクションを見つけます。[ツール]、[インターネットオプション]、[詳細設定]の下の場合もあります。
- 使用可能なオプションの指示に従って、Cookieを管理または削除します。
しかし、永続的な追跡Cookieの侵入やハッカーが作成した悪意あるタイプを削除するには、プレミアムな保護機能の補助が必要となります。将来的には、仮想プライベートネットワーク(VPN)を使用して、Webの使用を匿名化する必要もあります。これらのサービスはユーザーのWeb接続とユーザーのふりをしたリモートサーバーをトンネリングします。Cookieはユーザーのローカルコンピューターではなく、他国にあるリモートサーバーにラベル付けされます。
Cookieの扱い方がどうであれ、警戒を続け、Cookieを頻繁にクリーンアップすることが最善の方法です。
推奨製品