グローバル小売業におけるクッキー・ミスコンフィグのケース・スタディ – Reflectiz

Case Study: The Cookie Privacy Monster in Big Global Retail

2024/01/16 TheHackerNews — 先進的な暴露管理ソリューションが、 ある大手小売業界のクライアントを、Cookie 管理ポリシーのミスコンフィグレーションによる罰則から救った事例を紹介する。これは悪意のものではなかったが、現代の Web 環境は非常に複雑であるため、同様のミスは起こりうると言える。

ケース・スタディの全文のダウンロード

あなたは子供の頃に、クッキーの容器に手を突っ込んだのがバレて、叱られたことはなかっただろうか？ 現代の Web のクッキー泥棒に対しては、それよりももっと重い、何百万ドルもの厳しい罰が科されている。

クッキーとは、 Web サイト訪問者の好みや行動を記録するテキスト・データであり、ユーザーのブラウジング体験をパーソナライズする、現代の Web 分析には欠かせないものだ。子供の頃は、 クッキーを食べるのには保護者の同意が必要だった。それと同様に、ビジネスにおいても、ユーザーのブラウザにクッキーを注入して、彼らの閲覧履歴に関する情報を保存／共有する際には、ユーザーの同意を得る必要がある。

ユーザーの同意を得ることを怠った場合は、データ・プライバシー規制当局から多額の罰金を科されたり、ユーザーから高額な訴訟を起こされたりすることがある。

先日、クッキーのミスコンフィグレーションをめぐる新しいケース・スタディが、Web サイト・セキュリティのリーディング・カンパニーである Reflectiz によって公開された。同社のレポートでは、同社の高度な露出管理ソリューションが、クッキー管理ポリシーのミスコンフィグレーションを発見し、ある大手小売業界のクライアントを救った事例が紹介されている。

それは、Web スキミングやキーロギング攻撃のような悪質なものではなかったという。しかし、現代の Web 環境は非常に複雑であり、このような企業は何百もの Web サイトを管理しているため、同様のミスは起こり得る。

クッキーのトラッキングについて

クッキーのトラッキングは、インターネットの黎明期から存在していた。

1994年に、Netscape (旧 MCI) のプログラマーである Lou Montulli は、仮想ショッピング・カートを要求していたクライアントの１社である、MCI の電子商取引アプリケーションの開発に取り組んでいた。彼はその過程で、ユーザーが以前にサイトを訪れたかどうかを確認して、彼らの好みを記憶する、クッキーを発明した。

やがて、クッキーはプライバシー侵害の可能性があるという話が、取り上げられるようになった。しかし、社会の関心の高まりにもかかわらず、Web サイトがクッキーを使用する際にユーザーの同意を得ることを義務付ける法律を EU が制定したのは、2011年のことだった。

ユーザーの同意を得ない、クッキーの不正なトラッキング

Reflectiz が公開した新しい事例は、あるグローバルな小売企業の顧客が、自社の Web サイトにおける多様なユーザー・ジャーニーを継続的に監視しようとしたところ、37のドメインがユーザーの適切な同意を得ることなくクッキーを注入していることが判明したというものだ。

この小売企業が利用していたセキュリティ・ツールは、組織的な VPN による制約のため、この問題に気付かずに、可視性が制限されるという状況にあった。さらに、ミスコンフィグレーションされた不正クッキーは、iFrame コンポーネントに注入されていた。そのため、WAF のような標準的なセキュリティ・コントロールでは、効果的な監視が困難な状態であった。

ケース・スタディの全文は、ここからダウンロードできる。

クライアントの問題：VPN に惑わされる

この小売業者のプラットフォームには、既に他のセキュリティ・ソリューションが導入されていたが、この問題は感知されていなかった。つまり、37の Web サイトで、訪問者から明示的な同意を得ることなくクッキーのトラッキングが行われていたのだ。

この問題は、VPN により不可視化された iFrame に起因する。iFrame とは、HTML タグの一種であり、ある Web サイトのコンテンツを、別の Web サイトに埋め込むためのものだ。これにより、訪問者の活動は隠蔽され、 クッキー同意の問題が他のセキュリティ・ソリューションからは見えなくなっていた。

この見落としは重大なものであったが、少なくとも、データが悪意のアクターに送信されることは無かった。しかし、その代わりに、合法的なサードパーティの広告サービスに送信されていることが、Reflectiz により発見された。

コンプライアンス違反の代償

EU に顧客を持つ企業には GDPR が適用され、そのクッキー同意規則の違反は、Tier 2 カテゴリーの違反に分類される。

この規則によって、有効なクッキーの同意を得られなかった企業は、全世界の年間売上高の 4%あるいは €20 million ($21.94 million) の、いずれか多い金額まで罰金を科される可能性がある。

つまり、 それが理由となり、Web サイトに接続された全アセットの行動を、トラッキングする能力が極めて重要になる。したがって、今回の事例では、Reflectiz が救世主となったわけである。

解決策

Reflectiz は、他のソリューションでは不可能だったことを達成した。同社は、ユーザーの同意なしにクッキーが使用されている 37のドメインを特定して、データの送信先 (この場合は広告主) を突き止めた。

Reflectiz のプラットフォームは、小売／金融／医療などの分野の企業に対して、データ保護基準の遵守を維持し、罰金／訴訟／風評被害につながりかねない、同様の事故の回避に必要な洞察を提供する。これらのアクションはリモートで実行されるため、パフォーマンスへの影響はほとんどなく、直感的なインターフェースにより、従業員への導入も迅速に実行できる。

Reflectiz のレポートの要点

• 同意の監視：このプラットフォームでは、Web サイト上に同意欄が設置されておらず、適切な同意なしに注入された特定のクッキーの検出と、ユーザーへの通知が不可能だった。
• VPN による隠蔽：Reflectiz の監視により、ユーザーの承認なしにクッキーを注入している 37のドメインが特定され、当初は組織的な VPN により隠されていた場所まで遡ることができた。
• サードパーティによるデータ漏洩：特定のユーザー・ジャーニーをトリガーとした不正なクッキー注入により、漏洩したデータが外部ドメインに到達した。
• 隠された iFrame トラッキング：監視されていない iFrame の活動が、同意なしにユーザー・データをトラッキングすることで、プライバシー侵害につながっていた。
• ミスコンフィグによるクッキーの脅威：誤設定されたクッキーがプライバシー侵害を促進し、ユーザーのプライバシーに重大な脅威をもたらした。
• コミュニケーション不全の教訓：サードパーティのコード実装に関連する問題を防ぐには、部門間において、特にセキュリティとマーケティングの間での、コミュニケーションを改善することが重要である。
• 継続的モニタリングの重要性：このケースが浮き彫りにしたのは、ユーザーの信頼を維持し、データ保護規制を遵守するために、日々進化するオンライン・プライバシーの状況において、継続的な監視と警戒が極めて重要である。

より詳しい背景や詳細な分析については、ここからダウンロードできる。

クッキー同意がパスされてしまう状況と理由だけではなく、GDPR の存在意義や、クッキーの歴史まで分かるという、とても有難い記事です。Reflectiz の宣伝も入っていますが、このような視点は、それを専門とするベンダーだけが持つものだと思います。 よろしければ、Cookie で検索も、ご利用ください。