Appleは、特にiOSにおいて、ユーザーのプライバシーとセキュリティ全般に関して継続的な取り組みを行っていますが、サードパーティ企業がAppleのツールを利用できる領域が依然として存在します。例えば、FacebookやInstagramなどのアプリに組み込まれているウェブブラウザは、依然としてAppleのWebKitをベースにしています。しかし、MetaはSafariではなくサードパーティ製のウェブブラウザを使用しているユーザーを追跡する方法を依然として見つけているようです。
これは、フェリックス・クラウス氏がまとめた新たな分析によるものです。多くのアプリが依然としてウェブブラウジングにSafariを使用していますが、サードパーティ製のブラウザを使用しているアプリも存在します。FacebookやInstagramなどがその例です。Meta傘下のこれらのソーシャルネットワークは、Appleのデフォルトブラウザではなく、独自のブラウザを使ってウェブにアクセスしています。
そして、これらのサードパーティ製ブラウザ(これもAppleのWebKitをベースにしている)では、JavaScriptベースのトラッキングコードを挿入することで、このウェブブラウザにアクセスするユーザーを追跡できます。このトラッカーは実際には「Meta Pixel」というコードネームで呼ばれ、あらゆるウェブサイトやリンクに埋め込まれています。Krause氏の調査結果によれば、FacebookとInstagramは、デジタルトラッキングに関するユーザーの個人的な希望に関わらず、あらゆるユーザーを追跡できることになります。
レポートより:
Instagramアプリが挿入する外部JavaScriptファイル(connect.facebook.net/en_US/pcm.js)は、Meta Pixelと、ホストアプリとの通信ブリッジを構築するためのコードです。これは単なるピクセル/画像ではなく、実際に実行されるJavaScriptコードです。
Meta Pixelは、ウェブサイト上の訪問者のアクティビティをトラッキングできるJavaScriptコードスニペットです。トラッキングしたいアクションを訪問者が実行するたびに、小さな関数ライブラリを読み込むことで動作します。[…]
Meta Pixel は次のデータを収集できます。
- […]
- ボタン クリック データ – サイト訪問者がクリックしたボタン、それらのボタンのラベル、およびボタンのクリックの結果としてアクセスされたページが含まれます。
- フォームフィールド名 – 商品やサービスの購入時に使用する、メールアドレス、住所、数量などのウェブサイトフィールド名が含まれます。フィールド値は、高度なマッチング機能またはオプション値として入力しない限り、取得されません。
興味深いのは、FacebookとInstagramがMeta Pixelを隠そうとしていないことです。実際、Facebookの開発者ポータルでは、「Meta Pixel」は「ウェブサイト上の訪問者のアクティビティを追跡する」ように設計されており、ユーザーがカスタムビルドされたウェブブラウザ内で行われるすべてのインタラクションが追跡されると説明されています。
クラウス氏は「非技術系の読者」向けに次のように説明しています。
- Instagram/Facebookは私のオンラインアクティビティをすべて読み取ってしまうのでしょうか?いいえ!Instagramは、アプリ内からリンクや広告を開いたときにのみ、あなたのオンラインアクティビティを読み取ったり監視したりできます。
- Facebookは本当に私のパスワード、住所、クレジットカード番号を盗むのでしょうか?いいえ!Instagramが追跡しているデータを正確に証明したわけではありませんが、ユーザーに知られずにどのようなデータを入手できるかを示したかったのです。過去の事例からもわかるように、企業がユーザーの許可を求めることなく無料でデータにアクセスできる場合、企業はそれを追跡するでしょう。
- どうすれば身を守れるでしょうか?詳細は記事の最後までスクロールしてください。まとめ:Instagram(またはFacebookやMessenger)からリンクを開く際は、必ず隅にあるドットをクリックしてSafariでページを開くようにしてください。
- Instagramは意図的にそうしているのでしょうか?社内でどのような決定が下されたのかは分かりません。ただ言えるのは、独自のアプリ内ブラウザを構築するには、プログラミングとメンテナンスにかなりの時間がかかり、過去7年間iPhoneに組み込まれてきたプライバシーとユーザーフレンドリーな代替ブラウザを使うよりも大幅に時間がかかるということです。
最後の箇条書きが特に目を引きます。クラウス氏が指摘するように、カスタムアプリ内ブラウザの開発、保守などには「決して小さくない」時間がかかります。そのため、FacebookとInstagramを統括するMetaは、この特定の方法を採用することを意図的に決定しました。これには、そもそもMeta Pixelトラッカーを組み込むことも含まれます。
表面的には、MetaはAppleのApp Tracking Transparency(ATT)機能を回避しようとしていたように見えます。ATTでは、iPhoneユーザーが他社所有のウェブサイトやアプリで追跡されるにはユーザーの同意が必要です。Apple独自のサードパーティブラウザ内のこのMeta Pixelにより、ユーザーが過去にどのような同意をしたかに関わらず、Metaはユーザーを追跡することが可能になります。
これがどこへつながるか見守る必要がある。
