Q 「Cookie」から個人情報が流出する危険性があると聞いたことがあります。Cookieとはどんなものなのでしょうか。また,危険なものなのでしょうか。

図3●日経BP社のプライバシ・ポリシー
http://www.nikkeibp.co.jp/info/privacy/で閲覧できる
図4●Cookieの仕組み
図5●Internet Explorer でのCookieの設定画面

A 「Cookie(クッキー)」は,ユーザーに快適なWebアクセスを提供してくれる重要な機能です。しかし,その使い方によっては,個人情報の漏洩の元になったり,個人の行動を監視できたりとセキュリティ上の問題になる事例が起こっています。このため最近の企業サイトのプライバシ・ポリシーの中にはCookieの利用についての記載が含まれるようになってきました。例えば日経BP社のWebサイトでは,図3[拡大表示]のようにCookieの利用についてポリシーが記載されています。

 それでは,Cookieについてその仕組みを簡単に説明しましょう。買い物カゴで利用されるCookieCookieは,ユーザーがWebブラウザを利用してWebサイトにアクセスしたときに,WebサーバからWebブラウザに記憶させることのできる小さなデータです(図4[拡大表示])。実際には,Webブラウザへ送信するページデータの先頭にあるCookieヘッダに必要なデータを埋め込むことで,WebサーバーからWebブラウザにCookieを送信し,これを受信したWebブラウザはその有効期限に応じてCookieを記憶します(Webコンテンツに含まれるJavaScriptからもCookieの読み書きができます)。

 そして,次にユーザーが同じパソコン(同じWebブラウザ)を使って,同じサーバーへアクセスした場合に,既に記憶しているCookie(データ)をサーバーに送信します。つまり,サーバーは過去にブラウザに記憶させたデータを知ることができるのです。

 この機能をうまく利用することで,サーバー側は,アクセスしてきたユーザーがどんなユーザーなのか,過去にどんな買い物をしたのかなどの情報を知ることができます。

悪用されればプライバシが侵害される

 Cookieは,前述のようにユーザーの利便性やサービス品質の向上を目的とした技術なのですが,使い方によってはセキュリティ上の問題となります。

1.ユーザーの行動が監視される

 Webサイトの管理者は,このCookieを使うとユーザーのWebアクセスを追跡することができるようになります。例えば,前回のアクセスはいつか,どこのページを見たか,何を買い物したか――といったユーザーがWebサイトに対して,アクセスしたり送信したすべての情報が追跡されます。本来はこのデータを元に,ユーザーの関心事に合わせたコンテンツを提供するなど,サービスの向上を狙うのですが,管理者の意思次第で個人的な監視もできてしまうことになります。これがCookieにおけるプライバシ問題のポイントとなっている部分です。

2.知らぬ間に個人情報が入ってる

 Webサイトの管理者に悪意があるないにかかわらず,個人情報が勝手にパソコンに記憶されたり,送信されたりすることがあります。

 例えば,ある掲示板に書き込みをするとき,名前,メールアドレス,削除用パスワードなどを書き込んで送信します。すると次回からのアクセス時には,それらのフィールドに勝手に名前やメールアドレスなどが表示されたことがある経験を持つ方も多いかと思います。これは,前回の書き込み時に,名前やメールアドレス,パスワードなどのデータをCookieに記憶させ,次回からのアクセス時に,ユーザーの手間を省いてあげようというサイト管理者の配慮による機能です。もしこれが,共有のパソコンだった場合には,次の利用者に個人情報が漏れてしまう可能性もあるのです。

3.Cookieが盗まれる可能性

 このようにCookieが活用されているWebサイトは多く存在するので,ユーザーのパソコンに記憶されているCookieの中には,プライバシやパスワードといった重要な情報が記憶されている可能性が高くなっています。結果として,悪意のある人がこのユーザー・パソコンの中にあるCookieを狙って不正アクセスを行うケースも多く報告されています。Webブラウザが備えるJava Script実行環境などのセキュリティ・ホールを使ってCookie情報を盗み出し外部に送信したり,ウイルスにCookieを盗み出す機能が組み込まれたりと,悪意のある者はさまざまな方法でユーザーのCookieの中に記憶された情報を狙っているのです。

安全なCookie機能の設定とは

 Cookieがそんなに危険なら,Cookie機能を無効にしてしまえば安心なのですが,実際にはそういうわけにもいきません。特に,ショッピング・サイトや会員制サイトなどでは,Cookieを拒否すると,コンテンツが見えなくなったり,機能が使えなかったりと,提供されるサービスに多くの制限が出てしまいます。もちろん,プライバシを最重要とするケースでは,それでよいと思いますが,インターネットをある程度楽しむためには,Cookieを完全にオフするわけにはいかないのです。

 現在のInternet Explorerには,図5[拡大表示]のように「インターネットオプション」に「プライバシー」の設定があります。これがどのようなCookieを受け入れるかという設定になっています。どのレベルが正しいということはありません。利用者の考え方に依存しますが,「中」「中―高」あたりに設定すると比較的安全で,支障なくインターネットが楽しめるでしょう。

 「中」以上に設定しておくことで,同じWebページに表示されている広告バナー(実際は別のWebサイトのデータを読み出して表示している)がWebブラウザにCookieを登録するのを防ぐことができます。もう少し厳しく管理したければ,「詳細設定」で,「ダイアログを表示する」の設定を選択することで,Cookieを受信したときに,内容を確認してから受け入れるかどうかを判断することも可能です。

Daiji Sanai
筆者は,ネットワーク・セキュリティ研究チーム「SecurityFriday.com」のリーダー。URLはhttp://www.securityfriday.com/jp/