IPアドレスやクッキーを使わなくても、Webサーバーから見ると個別ユーザーは特定可能、という話


先日、「【意外と知られていない事実?】ネットでは匿名は存在しない。例えば匿名ブログコメントから、個人でも比較的簡単に、相手を特定できる」というエントリーを書きました。

ブログを書いている人や、Webサーバー管理者は、例えばコメント主のIPアドレスを入手可能なので、比較的簡単に相手を特定できるという話しでした。

昨日Webを見ていたら、IPアドレスやクッキーを使わなくても、Webサーバー上ではかなりの確度で個人の行動を特定可能という記事がありました。

「Webブラウザーは“痕跡”を残す」、8割のユーザーは追跡可能
ブラウザーが送信する情報で識別、プラグイン使用なら9割以上

米国・電子フロンティア財団(EFF)の調査結果で、Webサイトにアクセスすると、OS、ブラウザー、ブラウザープラグインなどのバージョンや設定情報が送信されるので、この組合せでユーザーを特定できる、という話です。

実験では、470,161ユーザーのうち、83.6%が固有の組合せだったとのことです。

EFFでは、この組合せを「指紋」と呼んでいるそうです。

この情報からユーザーの身元を特定することはできませんが、アクセスしているユーザーが同一かどうかを確認し、行動を追跡することはできます。

試しに、過去の自分のWebサーバーのログを調べてみました。

確かに、Webブラウザーは、種類だけでなく、ブラウザーのバージョン、それも細かいモディフィケーション・レベルまで記録されていますし、OSのバージョンも記録されています。

確かに、これらのあり得る組合せは膨大な数になりますので、各ユーザーはユニークな値をWebサーバーのログに記録されていることになりますね。

さらに、実際には、IPアドレスも分ってしまうし、さらにクッキーも残ったりすると、….。

「Web上では、私達の行動はほぼ丸裸になっている」

ということは、改めて認識する必要がありそうです。