失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須！はじめての脆弱性診断に関する、正しい進め方ガイド

資料をダウンロードする

トラッキングとは、Webサイトを訪問したユーザーの行動を追跡・分析する手法です。

トラッキングによって効果的な広告配信が実現できる一方、トラッキング用のサーバーやシステムがサイバー攻撃を受けた場合、ユーザーの個人情報が漏洩する恐れがあります。

本記事では、トラッキングで懸念されるリスクやリスクを最小限に抑えるための対策を解説します。

「トラッキングにどのようなリスクがあるのか知りたい」という方はぜひご一読ください。

また、本記事では悪意のあるトラッキングやデータ漏洩のリスクを検出する「LANSCOPE プロフェッショナルサービス」の脆弱性診断についても紹介しています。

セキュリティ強化を目指す企業・組織の方はぜひご確認ください。

トラッキングとは

トラッキング とは、Webサイト訪問者の行動を追跡・分析する手法です。

トラッキングの対象となる情報の例は以下の通りです。

これらの情報を追跡し、分析することで、自社サイトの改善施策を明確にでき、マーケティング施策の最適化に役立てられます。

一方で、トラッキングには情報漏洩・プライバシーの侵害といった、セキュリティリスクも存在します。

トラッキングの情報を利用する企業はもちろん、ユーザー側もメリット・デメリットを正しく把握し、慎重に対応する必要があります。

Cookie（クッキー）とは

Cookie（クッキー）とは、ユーザーが閲覧したWebサイトから、ユーザーのPCやスマホのブラウザに送信され、デバイスに保存されるデータファイルのことです。

Cookieは、主に以下の役割を持ちます。

Cookieを活用することでユーザー体験の向上や広告のパーソナライズが可能なため、トラッキングでは、このCookieが重要な役割を果たします。

一方で、Cookieの使用にはプライバシー侵害のリスクが伴うため、サイト運営者には以下の対応が求められます。

Cookieを正しく管理することで、ユーザーが安心して利用できるWebサイト運営が可能になります。

失敗しないための脆弱性診断実施のコツ

セキュアな開発・サービス提供に必須！はじめての脆弱性診断に関する、正しい進め方ガイド

資料をダウンロードする

トラッキングの種類と仕組み

代表的なトラッキングの種類としては、以下の6つが挙げられます。

詳しく解説します。

ファーストパーティCookie

ファーストパーティCookie とは、ユーザーがアクセスしたWebサイトが発行するCookieのことです。

Webサイト訪問時に、そのサイトのサーバーがユーザーのブラウザにCookieを送信し、ログイン情報や行動履歴、カート内の商品情報などを保存します。

ファーストパーティCookieは、訪問サイトとユーザー間のみで情報がやり取りされるため、プライバシーやセキュリティ面で比較的安全とされています。

サードパーティCookie

サードパーティCookie とは、アクセスしたWebサイト以外の第三者が発行するCookieのことです。

たとえば、広告配信事業者やアナリティクス会社などが発行するCookieが該当します。

サードパーティCookieが発行されると、複数サイトを横断した行動追跡が可能になるため、広告主は関連性の高いターゲティング広告が表示できるようになります。

近年は、プライバシー保護の観点から、サードパーティCookieの使用は制限されつつあります。

広告識別子（広告ID）

広告識別子（広告ID） は、モバイルデバイスを識別するための情報で、以下の2種類があります。

広告主は、この広告識別子を利用して、アプリ内のユーザーの行動を把握し、ターゲティング広告を最適化します。

ユーザー側は、プライバシー保護の目的から、オプトアウト（ブラウザの履歴データを利用した広告配信を、停止させること）が可能です。

ブラウザーフィンガープリント

ブラウザーフィンガープリント とは、Webブラウザを識別するための技術であり、以下のような情報の組み合わせでユーザーを特定します。

Cookieを使用しないため、異なるWebサイト間でも一貫して追跡が可能であり、識別精度が非常に高いのが特徴です。

Cookieに代わるトラッキング方法として注目を集めていましたが、昨今は、個人情報漏洩やプライバシー侵害の観点から制限や対策が求められています。

アプリトラッキング

アプリトラッキングとは、アプリ内でのユーザー行動を追跡する手法です。
アプリをインストールした際に表示される「あなたのアクティビティをトラッキングすることを許可しますか？」という確認画面で「許可」を選択した場合、トラッキングが開始されます。

確認画面で拒否することもできるので、アプリトラッキングはユーザーの意思を尊重した手法といえます。

SensorID

SensorIDとは、スマートフォンやタブレットのセンサー情報を基に生成される識別情報です。
利用されるセンサーには以下があります。

SensorIDでは、ユーザーがアプリを使用していなくても、センサー情報を利用した高精度な行動追跡ができます。位置情報に基づくターゲティングや、ユーザー行動に基づくコンテンツ・広告の配信などが可能です。

トラッキングのメリット

トラッキングを実施するメリットを、企業・ユーザーそれぞれの観点から解説します。

企業側のメリット

企業がトラッキングを実施する利点は、効果的な広告配信が実現できる点です。
ユーザーの関心対象や購買タイミングを把握できるため、パーソナライズな広告を表示し、コンバージョン率の向上が図れます。

また、ユーザー行動の分析は、Webサイトの改善にも効果を発揮します。

たとえば、離脱率の高いページが特定できれば、コンテンツの見直しやCTAの配置変更など、具体的な改善が実施できるでしょう。

ユーザー側のメリット

トラッキングがユーザーにもたらすメリットとしては、広告の最適化が挙げられます。

Webサイトの閲覧履歴や購入履歴などに基づいて閲覧履歴に基づき、興味関心の高い広告が表示されるため、ユーザーは自身の嗜好に合った商品やサービスを効率的に見つけられるようになります。

また、トラッキングによりサイトへのログイン情報を記録することで、訪問時に毎回ログイン情報を入力する手間を省くことも可能です。

トラッキングのデメリット

次に、トラッキングのデメリットについて解説します。

トラッキングは便利に活用できる一方で、注意すべき点も存在します。

詳しく確認していきましょう。

企業側のデメリット

企業側が留意すべき最大のデメリットは、情報漏洩のリスクです。

トラッキング用のサーバーやシステムがサイバー攻撃を受けた場合、ユーザーの個人情報が漏洩し、不正利用される危険性があります。

また、たとえサイバー攻撃の被害者であったとしても、情報が漏洩してしまうと、取引先や顧客からの信用を失う恐れがあるでしょう。

個人情報流出を防ぐためには、必要最小限のデータ収集にとどめることや、トラッキングデータの管理状況における定期監査など、適切なデータ管理をおこなう必要があります。

ユーザー側のデメリット

ユーザーがトラッキングを利用する際は、アカウントの不正利用やプライバシー侵害のリスクに注意する必要があります。

たとえば、自動ログイン機能は便利ですが、共用のPCでトラッキングを許可してしまうと、第三者にログインされてしまう可能性があるでしょう。を招くリスクがあります。

さらに、トラッキングで収集された情報が第三者に提供されることで、意図せずプライバシーが侵害される危険性もあります。

トラッキングで懸念される「セッションハイジャック」のリスク

トラッキングによるリスクの中でもとくに注意すべきなのが「セッションハイジャック」です。

セッションハイジャックとは、不正に取得した「セッションID」を用いて正規ユーザーになりすまし、ユーザーとサーバー間の通信を乗っ取るサイバー攻撃です。

▼セッションハイジャックの攻撃手順

通常、Webサービスではユーザーがログインすると、サーバーはセッションIDを発行し、ユーザーの状態を管理します。攻撃者はこのセッションIDを盗み取ることで、ユーザー権限を不正に利用することが可能になります。

トラッキングに使用されるCookieやセッションデータが適切に保護されていない場合、このリスクが高まります。

セッションハイジャックが仕掛けられると、機密・個人情報の漏洩や不正送金といった被害が発生する恐れがあります。

関連ページ

セッションハイジャックの仕組みから対策までわかりやすく解説

トラッキングによるリスクを回避するための対策

トラッキングによるセキュリティリスクを回避するための対策を2つ紹介します。

確認していきましょう。

ブラウザやOSのプライバシー設定をおこなうユーザー側の対策）

主要なブラウザやOSには、トラッキングをブロックするための設定が組み込まれています。

Chrome、iOS、Androidにおけるプライバシー設定の方法をそれぞれ解説します。

Chrome（デスクトップ版）でのプライバシー設定は以下の通りです。

参考元：Google chrome ヘルプ｜「Do Not Track」をオンまたはオフにする

Androidでのプライバシー設定は以下の通りです。

参考元：Google chrome ヘルプ｜「Do Not Track」をオンまたはオフにする

iOS（iPhone/iPad）でのプライバシー設定は以下の通りです。

参考元：Apple｜アプリがアクティビティを追跡してもよいか確認してくる場合

脆弱性診断をおこなう（企業側の対策）

前述したセッションハイジャックは、Webサイトのセッション管理の脆弱性を狙った攻撃です。

そのため、システムやネットワーク・Webアプリケーションに存在する脆弱性を特定する脆弱性診断の実施が有効な対策となります。

定期的に脆弱性診断をおこなうことで、Webサイトのセキュリティの向上とともに、信頼性も高めることができるでしょう。

3分で分かる！
脆弱性診断のご案内

LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説！ぴったりの診断を選べるフローチャートもご用意しています。

資料をダウンロードする

悪意のあるトラッキングやデータ漏洩のリスクを検出
LANSCOPE プロフェッショナルサービスの脆弱性診断

適切に保護されていないCookie情報やセッションIDがトラッキングデータとして第三者に漏洩すると、Webサイトやシステムがサイバー攻撃の標的となる危険性があります。

たとえば、セッションハイジャックが仕掛けられると、漏洩した情報を利用して不正アクセスが仕掛けられたり、ユーザー情報を悪用して不正送金がおこなわれたりするリスクが想定されます。

トラッキングを利用する企業や組織がこれらのリスクを防ぎ、Webサイトやシステムの安全性を維持するためには、定期的な脆弱性診断の実施が不可欠です。

「LANSCOPE プロフェッショナルサービス」の脆弱性診断では、たとえば「セッションハイジャック」の原因となる以下のような脆弱性を、国家資格を持つ専門家が洗い出します。

• セッション追跡パラメータの漏洩
• セキュアでないCookieの使用
• ログアウト後のサーバセッションの長時間にわたる残存

Webサイトからモバイルアプリ、WebAPIまで多様な媒体にて、さまざまな脆弱性を明らかにし、優先度をつけて必要な対策をお伝えします。

「Webサイトを安全に運用したい」「自社サイトのインシデントによって、業務停止や信頼損失などを起こしたくない」という企業・組織の方は、ぜひご活用ください。

関連ページ

LANSCOPE│Webアプリケーション脆弱性診断

また、診断内容を重要項目に絞り、低価格でWebアプリケーションの脆弱性診断を提供する「セキュリティ健康診断パッケージ」もご用意しています。

「なにからすべきか迷っている」「低コスト・短納期で実施したい」方は、ぜひ実施をご検討ください。

関連ページ

低コスト・短期で診断を行う『セキュリティ健康診断パッケージ』の詳細はこちら

まとめ

本記事では「トラッキング」をテーマに、種類や仕組み、メリット・デメリット、セキュリティリスクなどを解説しました。

トラッキングには、企業とユーザー双方にメリットがある一方で、情報漏洩やプライバシー侵害といったデメリットも存在します。

企業はユーザーの同意を得た上で透明性を確保し、適切なトラッキングを実施することを徹底しましょう。

また、本記事で解説した通り、脆弱性を悪用したサイバー攻撃を防ぐためには、定期的に脆弱性診断を実施し、脆弱性を修正する必要があります。

「LANSCOPE プロフェッショナルサービス」の脆弱性診断は、Webサイトやアプリケーション、WebAPIなど、さまざまな範囲の脆弱性診断を提供しています。

「どの診断を選んだらいいかわからない」という方に向けて、ぴったりの診断を選べるフローチャート付きの資料をご用意していますので、ぜひ本記事とあわせてご活用ください。

3分で分かる！
脆弱性診断のご案内

LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説！ぴったりの診断を選べるフローチャートもご用意しています。

資料をダウンロードする