Webサイトを閲覧する際、
「Cookie取得に同意しますか」という表示を目にしたことがある人もいるかと思います。
Cookie(クッキー)とは、
Webブラウザー内にトラッキング、ユーザー管理のために情報を記録する仕組みです。
データは小さなテキストファイルとして、Webサイト閲覧時に端末上のWebブラウザー内に保存されます。
Cookieの仕組みを利用することにより、Webサービス利用時の利便性を高めることが出来るとされています。
Webサーバーが発行・配付し、クライアント端末のWebブラウザーがそれを受け取るという仕組みから、
やり取りするテキストファイルを疑似的にお菓子のクッキーに例えて定着したというのが、Cookieという言葉の由来であると言われています。
中でも、ECサイトはCookieを利用する代表として挙げられます。
例えば、ショッピングカートの履歴情報を記録しておく事により、購入途中でサイトを離脱した場合でも、
サイトに再びアクセスした際に前回アクセスした時の情報を保持したまま、ショッピングを再開出来るのです。
また、ログイン状態(セッション情報)をCookieに保存しておく事により、
再度サイトアクセス時にログイン情報の入力の手間を軽減させることも出来ます。
この他にも、SNSでのログイン、自らの閲覧履歴に応じた情報の表示等、Webサービスの至るところでCookieは活用されています。
こうしたCookieを利用することで、
IDやパスワード等の認証情報がWebブラウザーに保管されるため、スムーズな認証が可能となります。
しかし、Cookieを巡ってのセキュリティやプライバシーの懸念についても、近年は注目されるようになってきています。
Cookieを利用する上でのデメリットや注意点について、以下の3点に分けて考察してみます。
①プライバシー侵害
Cookieはユーザーや、企業にとっても利便性の高いものですが、
近年、行き過ぎたトラッキング(ユーザーの行動追跡)がプライバシー侵害として問題視されるようになってきています。
欧州で2018年より適用開始されたGDPR(EU一般データ保護規則:General Data Protection Regulation)では、
『Cookieも個人情報に該当する』として、発行・取得時に同意を得ることが義務付けられました。
GDPRに違反した場合、企業または組織は巨額の罰金を支払わなければならなくなります。
事例として、2022年2月に、フランス当局がグーグル社に対し1億5千万ユーロもの制裁金を科す決定を下し、話題になりました。
②個人情報漏えい・不正アクセス
Cookieには、Webサイトの閲覧履歴だけでなく、認証情報等の個人情報も保存されています。
これらはセッションIDと紐づき、Webサーバー側にて管理されるものであるため、Cookie情報が漏えいすると、
セッションを乗っ取られる『セッションハイジャック』が起こる可能性が出てきます。
『セッションハイジャック』が起こった場合は、ネットバンキングの不正利用等深刻な被害に発展するリスクがあるのです。
③Cookie削除によるトラブル
①・②のように、Cookieの利用にはリスクが伴います。
しかし、だからと言って、ユーザーが全てのCookieを削除してしまうと、Webサービスの利便性は大きく損なわれることもあります。
例えば、ログイン画面で自動的に表示されていたユーザーIDが表示されなくなる、
あるいはECサイトのカートに保存する機能も無効化される、などといったことが挙げられます。
また、オンラインで使用するオフィスソフトなどで入力した情報も一時的な保存が不可能となります。
様々なアプリ、ソフトウェアを並行して使う際は、Cookieの恩恵を受ける部分は少なくありません。
上記3点に挙げた通り、Cookieはユーザーのインターネット利用体験を向上させている一方で、セキュリティリスクが存在しています。
Webサービスへのログイン情報が記録されているCookieを攻撃者が不正に窃取し、
なりすましなどの犯罪行為に及ぶ等の攻撃手法への対策を打たねばなりません。
また、スマートフォンのWebブラウザーでもCookieが利用されており、もしも盗難・紛失などでユーザーの手元を離れてしまった場合、
Cookieを悪用されてしまう可能性も出てきます。
盗難・紛失したケースを考え、自分以外の第三者に不正に利用されないよう、認証には生体認証を利用するなど、
ログインされないような対策を徹底することが重要です。
このようなセキュリティリスクに対する具体的な対策としては、以下の4点があります。
①Webブラウザーでのプライバシー設定
WebブラウザーにはCookieを始めとする『プライバシー設定機能』があります。
例えば、Chromeの場合は「設定」から「プライバシーとセキュリティ」の項目を選ぶと、Cookieをどの程度受け入れるかの選択が出来ます。
②端末でのプライバシー設定
スマートフォン等の『プライバシー設定』を行うことで、過度なトラッキングを抑制することが出来ます。
③紛失や盗難に備えるための端末ロック
ノートパソコンやスマートフォン等の利用には、紛失や盗難のリスクが伴います。
仮に盗難された場合、Cookieが保存されていることで、ネットバンキングなどへのアクセスを許してしまう危険性があるのです。
そうならないために、端末のロックは欠かさず設定しておきたいところです。
④セキュリティソフトの導入
セキュリティソフトの導入は、安全にインターネットを利用する上で必須です。
いかにプライバシー設定をしていたとしても、端末そのものがセキュリティ侵害に遭ってしまえば、Cookie情報が漏えいし、
なりすましによる詐欺被害などに遭遇するリスクも極めて高くなります。
Cookieは、ニュースや新聞で目にする機会も増えました。
インターネット利用時での利便性を向上させる一方で、
上記のようにセキュリティ侵害による情報漏えいやプライバシー侵害などが指摘されています。
リスクや注意点を踏まえて、その対策を常に意識して打っていくことが大切です。
参考:
Cookie | サイバーセキュリティ情報局 (canon-its.jp)
Cookieとは? その役割と重要性をわかりやすく解説 | サイバーセキュリティ情報局 (canon-its.jp)