トラッキングCookieは,Webサイトが発行してパソコンに送ってくるCookieの一種である。Webページに埋め込まれたバナー広告の発行元が,ユーザーのWebアクセス履歴を収集するためによく利用している。
Cookieは,Webアクセスの際にWebサイトが発行する小さなテキスト・データである。WebページとともにWebブラウザに送られてきたデータを,パソコン側では保存しておき,再度同じWebサイトにアクセスするときにはリクエストに付けて一緒に送る。このようにCookieを使うことで,Webサイトではアクセスしてきたユーザーを識別する。
通常は,あるサイトが発行したCookieが,ほかのサイトに送られることはない。Cookieには発行元のドメイン名が明示されており,そのドメインとの間でしかやりとりできないことになっている。例えば「nikkeibp.co.jp」が発行したCookieは,「example.co.jp」には送られない。こうした制限があるので,CookieでWebアクセスを追跡するのは無理だと思いがちである。
しかし,トラッキングCookieでは「サード・パーティのCookie」というしくみを使ってユーザーのアクセス履歴を追跡する。バナー広告の発行元X社がトラッキングCookieでアクセス履歴を追跡するようすを見てみよう(図)。
X社のバナー広告がはめ込まれているA社のWebサイトにアクセスすると,ユーザーはA社のWebサーバーだけでなくバナー広告を受け取るためにX社のWebサーバーにもアクセスする。そこでX社はユーザーにCookieを発行し,バナー広告と共に送る。A社にアクセスしたときにX社から送られてくるので,これはサード・パーティのCookieとも呼ばれている。
X社が発行したCookieには,ユーザー識別用のID情報が含まれている。X社はユーザーがどこのWebサイトからアクセスしてきたかがわかるようにする。具体的には,バナー広告のURL内に「A社からのアクセス」とわかる情報を書き足すといったしくみを仕込んでおく。この情報を基に,X社はトラッキングCookieのIDと「A社にアクセスした」という情報をユーザー管理用データベースに書き込む。
続いて,ユーザーがB社のWebページにアクセスするとしよう。このB社のWebページにもX社のバナー広告が置かれていると,ユーザーのWebブラウザはバナー広告のリクエストと一緒にX社から受け取って,パソコンに保存していたトラッキングCookieを送信する。そのCookieを受け取ったX社は,その中のID を見て,データベースで管理しているIDの履歴に「B社にアクセスした」という情報を追加する。こうして,X社のバナー広告が埋め込まれたサイトにアクセスするたびに,ユーザーがアクセスしたサイトの情報がX社に蓄積されることになる。
バナー広告の代わりに「Webバグ」という目に見えないイメージ・データが貼り付けられたページにアクセスして,知らない間にトラッキングCookieが送り込まれるケースもある。
ユーザーの情報を勝手に取られることになるため,トラッキングCookieはスパイウエアの一種と扱われることがある。ただし,トラッキングCookie自体をスパイウエアに含めるかどうかが微妙だ。なぜなら,トラッキングCookieそれ自体はソフトではなく単なるデータで,直接集めるのはWebアクセスの履歴だけだからである。
