トラッキングとは？3つのセキュリティ対策でリスク回避

「トラッキングの仕組みを詳しく知りたい」

「トラッキングについて聞いたことがあるけど、よくわからない」

あなたはこのような悩みを抱えていませんか？

結論から言うとトラッキングとは、特定のユーザーがサイト内で何を閲覧したのか追跡・分析することです。

例えば、以下のような情報がトラッキングされる情報です。

・どのサイトを閲覧したか

・どの広告を閲覧したか

・どの商品を購入したか

・どのサイトから訪問したのか

このようなユーザーの情報が収集され、主にターゲティング広告などのWebマーケティング活動に利用されています。

従来までは特に規制がありませんでしたが、近年トラッキングによるセキュリティリスクが重要視されるようになり注目を集めています。

そこでこの記事では、トラッキングの基礎知識からセキュリティ対策までお伝えします。

・トラッキングの基礎知識と仕組み

・トラッキングが活用されている場面

・トラッキングとCookie (クッキー) データの関係性

・トラッキングのリスクとセキュリティ対策

この記事を読むことでトラッキングについて詳しく理解でき、トラッキングによるリスク対策を講じることができるでしょう。

1. トラッキングとは？

トラッキングとは、特定の事や物を追跡・分析するという意味です。

収集・追跡と聞くと怖いイメージを持つ方もいると思いますが、あくまでもそのデータを使っての各種分析、特定の広告などを見たユーザーにその商品を買ってもらうための行動を起こしてもらう事が一般的な目的であり、情報を窃取し悪用するものではありません。

 まずは、前提として目的を理解しておきましょう。

 その上でトラッキングは、様々な業界で使用されています。

「トラッキング」をより理解するために、一度整理して読み進めていきましょう。
 

1-1.記録・追跡をすること

トラッキングとは人、物や情報などの流れを「記録、追跡する」という目的でマーケティング業界や、物流業界、IT業界などで一般的に使用されています。

それぞれの業界で「追跡する」という意味合いは変わらず、追跡した上で情報の分析と次への最適なアクションを行うためにトラッキングをしています。

 今回の記事では、「マーケティング業界において特定のユーザーへの広告、サイト最適化のために使われるもの」という視点でトラッキングについて詳しく解説していきます。
　

1-2.Webユーザーの行動履歴の収集

Webトラッキングは、サイトやアプリに訪れたユーザーの行動履歴を収集することで、Webサイトの最適化・マーケティングの最適化という側面で利用されます。

 一つの例として、何気なくチェックした商品が、他のサイトでも広告として表示される経験はないでしょうか。

全く関係のないサイトなのに最初に見た商品やサービスの広告が表示されることがあります。

これは、何気なくチェックした広告からトラッキングされ、ターゲティング広告として利用されているのです。

 このように一度訪れたサイトやアプリで情報が収集され、その情報が活用されて広告やWebサイト改善に活かされているのです。

次の章からさらに詳しく、トラッキングの仕組みについて解説します。

2.トラッキングの仕組み

Webトラッキングは、Webサイトやアプリを利用する際に経由する、サーバーから送られる情報を利用して行われています。

サーバー間で行われる各種データがブラウザに保存され、保存されたデータを利用して分析/追跡を行っている仕組みです。

このような仕組みで以下のような手間が省ける側面もあります。

・ECサイト閲覧中に途中で別のページに遷移してもログインやショッピングカートの中身が維持されている

・入力フォーム記入の途中でページを移動しても入力データが残っている

・Webサイトに訪れたユーザーへ興味のある最適な広告が表示される

インターネットにアクセスするほぼ全てのユーザーは上記のような場面で知らぬ間にトラッキングの仕組みを利用しています。このようにトラッキングは、ユーザーやサイト/アプリ運用者にとってもメリットがある仕組みとなっています。

3.トラッキングが活用されているシーン

企業などのWebサイトでは、以下の目的でトラッキングの仕組みを活用し、サイトの改善や最適化に活用されるケースが多くみられます。

・Webサイトのアクセス解析

・Web広告の効果測定

ここから２つの活用シーンについて詳しく解説していきます。
　

3-1. Webサイトのアクセス解析

1つ目は、Webサイトのアクセス解析として活用されています。

Webサイトのアクセス解析とは、Webサイトに訪れたユーザーの行動/属性を分析し、Webサイトの最適化を図るものです。

例えば、Webサイトを運営しているが、閲覧されている回数が少ない、思ったほど問い合わせが無いなどの場合に活用されます。

アクセス解析の際にサイト運営側が取得している情報は多々ありますが、一例として以下のような情報が利用されます。

・ページビュー　　：Webサイトが閲覧された回数

・ユニークユーザー：Webサイトへ訪れたユーザーの数

・ページ滞在時間　：どの程度そのページに滞在していたか

・コンバージョン　：商品購入・問い合わせ・会員登録・予約などの回数

トラッキングされたこのようなデータを利用して、Webサイトの改善を行います。
 

3-2. Web広告の効果測定

2つ目は、Web広告の効果測定として活用されます。

Web広告の効果測定とは、出稿したWeb広告を経由して訪れたユーザーの行動/属性を分析し、Web広告の最適化を図るものです。

例えば、検索エンジンの検索結果に表示されるリスティング広告や、他のサイトに広告として表示されるターゲティング広告を使用した際に、購入や問い合わせに繋がらない、クリック数が少ないという場合に活用されます。

Web広告の効果測定の際に利用している情報は主に以下のような情報を主に利用します。

・ユーザーの行動　：広告をクリックしたユーザーはどのページからきたのか

・インプレッション：ユーザーへ広告が表示された回数

・クリック　　　　：表示された広告がクリックされた回数

・コンバージョン　：商品購入・資料請求などの回数

トラッキングされたこのようなデータを利用して、Web広告の最適化を行います。

4.トラッキングとCookieの関係性

トラッキングとセットでよく耳にする言葉として、Cookie(クッキー)と呼ばれるデータがあります。

Cookieとは、トラッキングする際に必要となるテキストデータのことです。

トラッキングを行うには分析/追跡するデータがないと動作しません。

そのためにトラッキングする際にはCookieを利用し、WebサイトやWeb広告の分析/追跡を行っています。

それでは、トラッキングに必要とされるCookieについて詳しく見ていきましょう。
　

4-1.Cookieとは？

Cookieとは、パソコンやスマートフォン/タブレットなどのモバイル端末でWebサイトを訪問した際にブラウザに保存されるユーザー情報のテキストデータです。

ユーザー情報というのは、主にWebでの行動履歴と考えていいでしょう。

・訪問したWebサイトの履歴

・会員サイトへログインしたID /パスワード

・Webサイトでの滞在時間

Cookieを活用し、特定のWebサイトや広告の改善を行います。
 

4-2.２種類のCookie

Cookieには、2種類のデータが存在します。

Webサイトのアクセス解析用とWeb広告の効果測定用のCookieです。

近年、規制がかかり注目を集めているのが、サードパーティーCookie（3rd party Cookie）です。

日本だけでなく、各国で個人のプライバシーの侵害となる見方があり、規制の動きが広まっています。

それぞれがどのような仕組みで活用されているのか詳しく見ていきましょう。

　　
4-2-1.ファーストパーティーCookie

ファーストパーティーCookieとは、サイト運営者が発行しているCookieです。

「https://tracking.com」というサイトであれば、「tracking.com」のドメインでのみ利用するのがファーストパーティーCookieです。

例えば、Amazonや楽天などのサイトを訪問して、ショッピングカートに品物を入れたままサイトを離れても、再度訪問した際に以前カートに入れた品物がそのまま残っています。

これは、Amazonや楽天が発行したそれぞれのファーストバーティーCookieを活用したものです。

　　
4-2-2.サードパーティーCookie

サードパーティーCookieとは、サイト運営者以外の事業者が発行しているCookieです。

例えば、お出かけ用にちょっと高い「A」というブランドのバッグを探していろいろな販売サイトを閲覧したとします。

すると、その後全く関係ない別のサイトを訪問した際もその「A」のバッグが広告として表示されるようになります。

この「追跡されるような広告」を少なからずご覧になった経験があるかと思いますが、これがサードパーティーCookieによる働きであり、広告側のドメイン先からCookieが発行され、追跡されているのです。

このサードパーティー Cookieで住所や名前まで特定されている訳ではありませんし、買う必要があるものを思い出させてくれるという意味では便利と言えます。

しかし、Webの数々の行動履歴を取得され、広告が追いかけてくるように頻繁に表示されることから気味悪がられている一面もあります。

現在はそれがプライバシーの問題として認知されるようになり、AppleやGoogleがSafariやChromeブラウザにおいてサードパーティーCookieの規制を強める形で対策が進められています。

5.Cookie以外のトラッキングデータ

Cookie以外にもトラッキングされるデータは存在します。

Cookieデータは、WebサイトやWeb広告側のシステムから発行されますが、他にもスマートフォンアプリやブラウザから取得されるトラッキングデータが存在します。

これらを理解することでセキュリティ上の懸念点を理解し、必要に応じた対策も可能になります。
 

5-1. ブラウザフィンガープリント

フィンガープリントとは「指紋」のことであり、ブラウザフィンガープリントとは、ブラウザを介してWebサイト管理者が取得可能なサイト利用者(アクセスしてきたユーザー)のコンピューター環境のデータのことです。 

ブラウザフィンガープリント情報の例 

・ グローバルIP アドレス : 2xx.1xx.1xx.1xx

・ 使用言語：ja-jp (日本語)

・ タイムゾーン：Asia / Tokyo

・ ユーザーエージェント：Mozilla / 5.0 Macintosh; Intel Mac OS X 10_11.6.7) Safari/605.1.15

・ 画面解像度 : 1440ｘ900ｘ24

・ 論理CPUコア数 : 4

上記の情報はブラウザフィンガープリントで取得可能な情報の一部です。

実際にどのような情報が収集されているのか気になる方は以下のサイトから確認することができます。

COVER YOUR TRACKS (リンク先は英語)

ブラウザフィンガープリント利用用途としては、主に２つあります。

1. 不正アクセス防止

銀行や証券会社などのWebサイトは、不正アクセス防止としてブラウザフィンガープリントを利用していると考えられます。

例えば、銀行のオンラインバンキングに全く違う環境から2回目のログインをする場合 (例 : 1回目は自宅のパソコン、2回目は屋外からスマートフォン) 不正アクセスの可能性があると判断し、ログイン時に再認証を求めることにより不正なアクセスを防ぎます。　　

2. ターゲティング広告

Webサイトの行動履歴を取得し、ターゲティングした広告に利用しています。

サードパーティーCookieと似ていますが、異なる点は、Webブラウザを介した情報を取得している点です。

ブラウザからデータを取得するため、同一端末でもブラウザを変更するとターゲティング広告は表示されなくなります。

このようにブラウザから特定のコンピューター情報を取得するのがブラウザフィンガープリントとなります。

本稿執筆時現在（2022年8月）においては、サードパーティーCookieのように規制されていないため、ユーザーに知られずに情報を取得できてしまうという問題があります。

プライバシー保護の側面で近年注意が促されているデータでもあります。
 

5-2. 広告識別子（広告ID）

広告識別子（広告ID）とは、モバイル用アプリの広告で利用されているデータです。

Cookieやブラウザフィンガープリントのように「ブラウザ」ではなく「モバイルアプリ」を対象としており、アプリを管理するGoogle(Android : AAID)やApple(iOS: IDFA)が発行、ユーザーごとの使用履歴・閲覧履歴などを取得しています。(例えば、メジャーリーグに関するニュースアプリを使用している人は「メジャーリーグが好き」という情報が収集されるイメージです)

主に行動履歴の分析やモバイルアプリ上のターゲティング広告として利用されています。

広告IDはその使用が許されている範囲がモバイルアプリだけであり、Cookieやブラウザフィンガープリントと比べると限定的と言えますが、近年のプライバシー保護強化の流れに従って規制が強化されつつあります。

実際に2021年4月、Appleはアプリ運営会社に対して利用者の行動データの計測と追跡に利用者の同意を求めるように義務付けています。

6.トラッキングにおけるセキュリティ面のリスク

トラッキングには、企業やユーザーにとってメリットになる点もありますが、プライバシーが侵害される可能性も含んでおり、大手企業を筆頭に各種の規制や対策が進んでいる事はご理解いただけたかと思います。

しかし、このプライバシーの面と同時にセキュリティの面でも注意しなければなりません。

Cookieなどのトラッキングデータにはユーザーの行動履歴やセッションIDといったWebサイトのアクセス情報、その他各種情報が含まれているため、これを盗まれて悪用されてしまうと非常に危険だからです。

Webサイトやアプリを頻繁に利用する現代だからこそ、トラッキングにおけるセキュリティ面のリスクについて十分に理解しておきましょう。
　

6-1. Cookie情報の窃取

犯罪者はCookie情報を狙い、窃取するためにあの手この手を考えています。

代表的なものは、クロスサイトスクリプティング（XSS）攻撃で、攻撃者はWebサイトに悪意のあるスクリプトを埋め込む、悪意のあるスクリプトを含むメールを送ることで、Cookie情報を窃取します。盗み出したCookieからWebサイトのセッションIDを抜き取り、そのセッションIDで本人になりすましてログインします。

(マルウェアに感染させることも可能です)

引用 : 独立行政法人情報処理推進機構（IPA）

6-2. セッションIDの固定化

セッションIDの固定化はセッションフィクセーションとも言われ、悪意あるサイバー攻撃者が事前に取得したセッションIDをHTTPヘッダインジェクション、クロスサイトスクリプティング攻撃などを用いてユーザーに利用させ、そのセッションIDを利用し、利用者になりすますことです。 

正規ユーザーになりすましてセッションIDを利用するため、セッションIDの値だけでユーザーを認識している場合、サイト側はそのアクセスが本人なのか、なりすましのユーザーなのか判別ができません。

引用 : 独立行政法人情報処理推進機構（IPA）

 このようにトラッキングによるプライバシー問題だけではなく、セキュリティリスクも存在するため、普段から怪しいサイトにアクセスしない、迷惑メールは無視する、不用意にリンクをクリックしない、などセキュリティ意識を常に高く保っておくことが望ましいと言えます。

7.トラッキングにおける3つのセキュリティ対策

ここではトラッキングに関連したトラブルにあわないための具体的なセキュリティ対策について解説します。

主にセキュリティ対策は、3つあります。

・ブラウザのプライバシー設定

・AndroidやiOSでのプライバシー設定

・セキュリティソフトの導入

日頃使用する端末（パソコン/スマートフォン）やブラウザ毎に解説するので、自分の状況にあったセキュリティ対策を行いましょう。

それでは、3つのセキュリティ対策について具体的に紹介します。
　

7-1.ブラウザ設定

1つ目は、普段利用しているブラウザでプライバシー設定を行うことで、トラッキングを制限する方法です。

例えば、ChromeやSafariなどの各種ブラウザには、詳細設定に“トラッキング拒否”という設定があります。 

「Google Chromeトラッキング拒否をオンまたはオフにする」https://support.google.com/chrome/answer/2790761?hl=ja&co=GENIE.Platform%3DDesktop

【手順】

1.パソコンで Chrome を開きます。

2.右上のその他アイコン その他 次の操作 [設定] をクリックします。

3.[プライバシーとセキュリティ] 次の操作 [Cookie と他のサイトデータ] をクリックします。

4.[閲覧トラフィックと一緒に「トラッキング拒否」リクエストを送信する] をオンまたはオフにします。

参照：Google Chromeヘルプ

ブラウザのプライバシー設定を行う事で、設定したブラウザ上のトラッキングを拒否できるためセキュリティ対策の１つとして有効となります。

また、各種ブラウザにはインターネット閲覧時に表示される広告を非表示にする機能が搭載されています。以下Google
Chromeの広告ブロック設定方法ですが、基本的に同様の事が他のブラウザでも設定可能です。

【Google Chrome特定不要な広告をブロック】

1.Chrome画面の右上のメニューアイコンから「設定」を選択

2.「プライバシーとセキュリティ」を選択

3.「サイトの設定 > その他のコンテンツの設定 > 広告」の順に選択

4.「煩わしい広告や誤解を招く広告が表示されるサイトで広告をブロックする」を有効化

【Google Chromeポップアップ広告のブロック】

1.Chrome画面の右上のメニューアイコンから「設定」を選択

2.「プライバシーとセキュリティ」を選択

3.「サイトの設定 > ポップアップとリダイレクト」の順に選択

4.「サイトにポップアップの送信やリダイレクトの使用を許可しない」を有効化　
 

7-2.AndroidやiOSでのプライバシー設定

2つ目は、利用しているスマ―トフォンでプライバシー設定を行い、トラッキングを制限する方法です。
 

7-2-1. Androidの場合

【手順】

1.Androidで Chromeアプリを開きます。

2.アドレスバーの右にある その他アイコン > [設定] をタップします。

3. [プライバシー] をタップします。

4. [トラッキング拒否] をタップします。

5.設定をオンまたはオフにします。

参照：Google Chromeヘルプ

7-2-2. iOSの場合

1.[設定]を開きます。                         

2. [プライバシー] をタップします。

3. [トラッキング] をタップします。

4.[ App からのトラッキング要求を許可]をオンまたはオフにします。

参照：Appleサポート

7-3.セキュリティソフトの導入

3つ目は、セキュリティソフトを導入することです。

トラッキングにおけるリスクは「プライバシー面」と「セキュリティ面」の双方を考慮する必要があります。

優先順位としてはセキュリティ面を先に考慮することをお勧めします。

なぜならば、マルウェアに感染してパソコンやスマートフォンが乗っ取られてしまってはプライバシー以前に記録されている個人情報の全てが漏れてしまう可能性があるからです。 

以下は実績のあるセキュリティソフトの無料体験版一覧です。これらは多くのセキュリティ技術を複数搭載しているのでより安心できます。

また、これらの実績のあるセキュリティソフト企業がリリースしているセキュリティアプリであれば、実際に存在する数多くのマルウェアを検知してくれます。

※ 体験版のご利用にはGoogleアカウントにお支払い方法が追加されている必要があります。ノートン以外の製品についてはそれぞれの会社の手順に従ってください。 

次に、プライバシー面の考慮ですがCookieの削除を自分で行う、各サイトでのブラウザの設定を変更する、などを自身で行うことができるならばある程度のトラッキングを防ぐことは可能でしょう。

しかし、全てのトラッキングを防ぐことはほぼ不可能だと考えられます。 

ノートンでは、トラッキング防止に特化したノートンアンチトラックがあります。

この製品は可能な限りのトラッキング情報収集を防ぎ、さらにダミーの個人情報を生成することにより、ユーザーのプライバシー保護を強化するものです。

さらにノートンアンチトラックでシークレットモードを使用すると、Cookieデータを削除できるだけでなく、IPアドレスなどの情報も保護する事ができます。

8. まとめ

トラッキングとは、主にWebサイトの管理者が訪問者の行動を記録、追跡する目的で利用されている技術です。 

Webサイト改善やWeb広告などで利用される事が多く、ショッピングサイトのカートの保存などユーザーにとってもメリットが多い反面、表示してほしくない広告がしつこく表示されてしまうなど、プライバシーに不安を覚えざるをえない状況を作り出すことも事実です。

しかし、インターネットを使用するにあたり、トラッキングを100%防ぐことはあまり現実的ではありません。 

ブラウザのプライバシー設定、セキュリティソフトの導入、不用意にリンクにアクセスしない、など基本的なセキュリティの知識と意識を持ち続けていればトラッキング技術の便利な面の利益を享受しつつ、リスクを排除することができるでしょう。