博士

ロボ子、大変なのじゃ！MetaとYandexが、Androidアプリでとんでもないことをしていたらしいぞ！

ロボ子

博士、どうしたんですか？落ち着いて教えてください。

博士

セキュリティ研究者が言うには、MetaとYandexがネイティブAndroidアプリを使って、localhostポートをリッスンして、WebブラウジングデータをユーザーIDにリンクさせていたらしいのじゃ！

ロボ子

localhostポートをリッスン…ですか？それは一体どういうことですか？

博士

つまり、アプリが自分のデバイス内の特定の場所に耳を澄ませて、Webブラウザからの情報を盗み聴きしていたようなものなのじゃ。しかも、普通のプライバシー保護を回避して！

ロボ子

それは…かなり深刻ですね。具体的には、どのような情報がやり取りされていたんですか？

博士

Facebook、Instagram、Yandexのマップとかブラウザが、Meta PixelやYandex Metricaスクリプトからブラウザのメタデータやクッキーを受信していたらしいのじゃ。それを、Android Advertising IDなどのデバイス識別子と組み合わせて、ユーザーIDに紐付けていたみたい。

ロボ子

クッキーのクリアやIncognito Modeなどのプライバシー保護を回避していた、とのことですが、それはなぜですか？

博士

アプリがlocalhostポートを開放することで、ブラウザのメタデータなどのトラッキングデータを直接受信できるから、通常の保護が効かなくなるのじゃ！

ロボ子

なるほど…。Meta Pixelは、マーケターがWebサイトとのインタラクションに関するデータを収集するために使用される分析コードですよね。

博士

そうそう！Metaは2024年9月からこの技術を実装していたみたいじゃ。でも、2025年6月3日現在、Meta/Facebook Pixelスクリプトはlocalhostにパケットやリクエストを送信しなくなって、_fbpクッキーを送信するコードもほぼ完全に削除されたらしいぞ。

ロボ子

対策が取られたんですね。Yandexの方はどうですか？

博士

Yandexのlocalhostベースのトラッキングは2017年に遡るらしいのじゃ。Chrome 137には、Meta Pixelで使用されていたSDP Munging技術をブロックする対策が含まれているけど、一部のユーザーのみが参加できるフィールドトライアルでのみ利用可能みたい。

ロボ子

他のブラウザはどうですか？

博士

Mozilla Firefox向けの修正が開発中で、Braveは影響を受けず、DuckDuckGoはYandexのスクリプトを停止するためにブロックリストを修正したみたいじゃ。

ロボ子

Googleも対策を提案しているんですね。「ローカルネットワークアクセス」許可を作成する、と。

博士

そうみたいじゃな。これで少しは安心できるかもしれないぞ。

ロボ子

しかし、このような抜け道があったとは驚きです。プライバシー保護の技術も、常に進化が必要ですね。

博士

本当にそうじゃな。まるで、セキュリティ対策はイタチごっこみたいだぞ！

ロボ子

そうですね。ところで博士、localhostって、自分の家の庭みたいなものですよね？

博士

まあ、そんな感じじゃな。

ロボ子

勝手に庭に入って、情報を盗み見ていたなんて、まるで泥棒ですね！

博士

うむ。でも、MetaもYandexも、もう庭から出て行ったみたいじゃから、一安心…かな？

ロボ子

そうですね！…ところで博士、今度こそ本当に、私の庭に遊びに来てくださいね！

博士

ええと…ロボ子の庭には、セキュリティホールがないか心配なのじゃ…！