ExtremeTechは6月5日(現地時間)、「Meta Tracked Android Users’ Private Browsing, Even in Incognito Mode」において、Meta社がFacebookやInstagramのアプリを通じてAndroidユーザーのWeb上での活動を追跡していたと報じた。

この追跡は、ユーザーがChromeをはじめとするWebブラウザーで「シークレットモード」を使用している場合でも行われていたという。

シークレットモードやVPNも回避

Webブラウザのシークレットモード(プライベートブラウジングモード、などとも呼ばれる)は、ユーザーの閲覧履歴やCookieをWebブラウザに保存しないことでプライバシーを保護するモードである。しかし、これはあくまでもローカルのWebブラウザー側の仕組みであり、閲覧した先のWebサーバ側ではアクセス履歴などの情報が記録している可能性があるため、完全な追跡防止が保証されるものではない点に注意が必要だ。

今回Meta社が取った追跡手法は、このシークレットモードの仕組みを回避して、ユーザーのWeb上での行動を把握するというもの。これによってMeta社は、ユーザーからの同意を得ないまま、オンラインでの閲覧やリンクのクリック、商品の購入などといった情報を収集していた可能性がある。

具体的な方法は、この不正を発見したオランダ Radboud大学のAniketh Girish教授による次のレポートで解説されている。

  • Meta社によるユーザー追跡の仕組み 出展:https://localmess.github.io/

    Meta社によるユーザー追跡の仕組み 出展:https://localmess.github.io/

Metaピクセルがユーザー情報を送信

Meta社は、Webサイトの管理者向けに「Metaピクセル」という宣伝効果測定用のツールを提供している。このツールをWebサイトに埋め込むことで、管理者はWeb広告の効果を把握することができる。このMetaピクセルが、ユーザーのデバイスにインストールされたFacebookやInstagramアプリと通信し、ユーザーの情報をMetaのサーバに送信していることが明らかになった。

Metaピクセルは、Webサイト上での行動に関する情報を取得できる。それとは別に、デバイスのFacebookアプリやInstagramアプリがMetaピクセルに向けてユーザーのアカウント情報を送信する。この2つの情報を突き合わせることで、Meta社はユーザーがどのサイトに訪問して、どのような行動を取ったのかを把握できるというわけだ。

繰り返すが、この手法はWebブラウザのシークレットモードによるプライバシー保護を回避できる。それだけでなく、VPNを使った匿名化も回避できてしまう。ユーザーが意図的に行っているこれらの保護を回避するMeta社の行動は、プライバシーに対する重大な侵害と受け取ることができる。

Metaによる追跡のためのコード削除を確認

なお、現在のところ、この問題はAndroidデバイスでのみ発生しており、iOSデバイスのMeta製アプリでは確認されていないようだ。ExtreamTechによると。Googleでは同様のトラッキングを防止するためにChromeにパッチを当てる予定だという。また、MozillaのFirefoxでも修正に取り組んでいるとのこと。

なお、Aniketh Girish教授の研究チームでは、6月3日7時45分(中央ヨーロッパ夏時間)現在、Meta社による追跡のためのコードが削除されたことを確認しているという。