博士

ロボ子、大変なのじゃ！Yandex MetricaがローカルホストにHTTPリクエストを送って、ユーザーの閲覧履歴を収集している可能性があるらしいぞ！

ロボ子

それは大変ですね、博士。具体的にはどのような仕組みなのでしょうか？

博士

Yandex Metricaスクリプトが、特定のTCPポートを使ってローカルホストにリクエストを送るらしいのじゃ。Yandexのアプリがそのポートでリッスンしているみたい。

ロボ子

なるほど。記事によると、Yandex MapsやYandex Browserなどが該当するようですね。

博士

そうそう！しかも、ドメイン`yandexmetrica[.]com`がループバックアドレス`127.0.0.1`に解決されるから、HTTPS経由でローカルポートにデータを送っているらしいぞ。

ロボ子

Webからネイティブ、そしてサーバーへと情報が流れるのですね。ユーザーがYandexアプリを開いていると、バックグラウンドサービスがHTTPポートをリッスンし、ブラウザでYandex Metricaスクリプトを統合したWebサイトを開くと、ローカルホストにリクエストが送信される、と。

博士

その通り！アプリ内のYandex Metrica SDKがパラメータを受信して、暗号化されたデバイスIDをWebサイトに返す。そして、WebサイトがそのIDをサーバーに送る、という流れじゃ。

ロボ子

つまり、Yandexのアプリがインストールされていると、Webサイトの閲覧履歴がYandexに筒抜けになる可能性があるということですね。

博士

そういうことじゃ！しかも、HTTPリクエストをWeb-to-Native ID共有に使っているから、悪意のある第三者が閲覧履歴を傍受することも可能らしいぞ。

ロボ子

それはセキュリティ上の大きな問題ですね。ChromeやFirefoxなどのブラウザが影響を受けやすいとのことですが、Braveブラウザは影響を受けにくいと。

博士

Braveは偉いのじゃ！DuckDuckGoも最小限の影響しか受けないらしいぞ。でも、Meta Pixelも同じようなことをしているみたいで、そっちはもっと多くのWebサイトに埋め込まれているらしい。

ロボ子

Meta Pixelもですか。記事によると、Meta Pixelは580万以上のWebサイトに、Yandex Metricaは約300万のWebサイトに存在しているとのことです。

博士

恐ろしいのじゃ…。しかも、同意なしにCookieを受け入れなくても、ローカルホストにデータを送ってくるらしい。Incognitoモードでも、Cookieをクリアしても無駄らしいぞ。

ロボ子

それはかなり深刻ですね。YandexがHTTPを使い始めたのは2017年2月からで、HTTPSは2018年5月からとのことです。

博士

結構前からやっているのじゃな。MetaもYandexも、この方法について公式なドキュメントを出していないのも気になるのじゃ。

ロボ子

そうですね。Facebookの開発者フォーラムでも質問が出ているようですが、Metaからの公式な回答はないとのことです。

博士

うーむ、これは一体どうすれば良いのじゃ？

ロボ子

まずは、Yandexのアプリを使用しない、または、使用する際にプライバシー設定を確認することが重要かもしれません。また、Braveブラウザなどのプライバシーを重視したブラウザを使用することも有効でしょう。

博士

なるほどのじゃ！しかし、Webサイト側もCookieの同意をちゃんと取らないと、意味がないのじゃな。

ロボ子

その通りです。ユーザー自身が注意することも大切ですが、Webサイト側の対応も重要ですね。

博士

しかし、YandexもMetaも、一体何を考えているのじゃろうか…。

ロボ子

もしかしたら、ユーザーの行動をより深く理解して、広告の精度を上げようとしているのかもしれませんね。

博士

広告のためなら、プライバシーを犠牲にしても良いと思っているのかのじゃ？まるで、私がロボ子のおやつをこっそり食べちゃうみたいだぞ！

ロボ子

博士、私のおやつはちゃんと返してくださいね！