2020年に登場したGoogleタグマネージャーの「サーバーサイドタグ」機能によって、ブラウザや広告ブロッカーの防御を無視してユーザーをトラッキングすることができると監視技術をまとめたブログ「Tracking pixel」が警告しています。
Google Tag Manager, the new anti-adblock weapon | Tracking pixel
https://chromium.woolyss.com/f/HTML-Google-Tag-Manager-the-new-anti-adblock-weapon.html
Googleタグマネージャーはウェブサイトに埋め込むタグをコードの変更なしで管理できるシステムで、W3Techsの調査によると、ウェブサイトの42.8%で利用されており、タグマネージャーの中では99.6%のシェアを獲得しています。
従来、Googleタグマネージャーが埋め込んであるページではタグマネージャーが各種サービスのコードを読み込み、GoogleアナリティクスやGoogle広告、サードパーティーにデータをブラウザから直接送信していました。
この場合、サイトの設定によってはタグマネージャーに登録されているサービスそれぞれに同じようなデータを送信することがあり、サイトの読み込み速度が低下したり通信量が増加する原因となっていたとのこと。
また、トラッキングコードを直接ブラウザに読み込むと、必要以上にデータを収集され、フィンガープリンティングによってユーザー識別が可能となり、プライバシーが侵害される危険があります。ほかにも、URLパラメーターから個人情報が漏洩したり、Cookieを編集したりすることが可能となっていました。
こうした問題を一気に解決できる機能が2020年8月に発表された「サーバーサイドタグ」です。全てのデータをいったん受け取るサーバーを間に用意し、そのサーバーに各サービスへのデータ振り分けを任せることで、従来はブラウザが個別のサービスと通信していたのを一つの通信にまとめることができるようになりました。
サーバーサイドタグを利用すると、サイトはGoogleだけと通信できればOKのため、コンテンツセキュリティポリシーを適切に設定することでXSSやサイトの改ざんへの防御を手厚くできるという副次的効果も存在しているとのこと。
一方で、Googleの推奨手順に従うと中間サーバーはウェブサイトのサブドメインに設定することになります。こうすることで、Googleタグマネージャーはもはや「サードパーティー」ではなく「ファーストパーティー」の扱いとなり、ブラウザが設定している様々なプライバシー保護の仕組みを素通りすることが可能です。
さらに、ブラウザから直接リクエストが飛ぶ場合は広告ブロッカーの機能でプライバシーを侵害するトラッカーをブロックすることが可能でしたが、サーバーサイドタグ機能が利用されている場合、中間サーバーからサードパーティーにどんなデータが流れているかをユーザーが確認することはできません。個人データが流出していても、ユーザー側から認識することは不可能といえます。
サーバーサイドタグに対抗してユーザーが自衛するにはJavaScriptを実行前に全て解析したり、Googleのサーバーを全てブロックしたり、JavaScriptを実行しないなどの現実的にはかなり難しい対策しかないとのこと。Tracking pixelは、利便性やセキュリティ面でのメリットを認めつつもユーザーが自衛できる手段が必要だとブログを締めくくっています。
この記事のタイトルとURLをコピーする