Fossbytesは2月12日(米国時間)、「Your Browser's Favicons Could Be Used To Track You Online: Here&s How」において、トラッカーがファビコン(Favicon)を使うことでユーザーをトラッキング可能だと伝えた。Jonas Strehle氏の次のドキュメントを引用する形で伝えている。
概念実証のコードも含めた説明は次のページにまとまっている。
-
supercookie • workwise
ファビコンは16x16または32x32のサイズで提供されることが多いアイコン。Webページごとに提供可能であり、通常はWebブラウザのタブに表示されている。Webサイトのシンボルマークやイメージを表すデータとして、多くのWebサイトで使われている。
通常、Webブラウザは処理速度を上げるためにファビコンデータをローカルストレージにキャッシュしておき、指定された期間はユーザーから強制読み込みの指定がない限り、ローカルストレージからファビコンデータを取り出して使用する。この特性を利用すると、Webサーバ側はファビコン要求があるページとないページの組み合わせによって、アクセスしているユーザーを特定できるとされている。
ファビコンに限らず、このように本来Cookieとしての使用が想定されていない機能や仕組みをユーザーのトラッキングに使用することはスーパークッキーと呼ばれている。Jonas Strehle氏の説明はファビコンをスーパークッキーとして利用するという研究者の指摘をPoCで示したもの。説明がわかりやすく、ブラウザの回避状況なども掲載されている。
Webブラウザ業界はスーパークッキーに対抗する方向を見せているが、進捗はブラウザごとに異なっている。スーパークッキー対策ではBraveが進んでいると評価されているほか、Firefoxも最近のアップデートでスーパークッキー対策に大きく舵を切った。最もシェアが多いとされるGoogle Chromeはこの点では対応が遅いと評価されることが多い。
