digital 千里眼 @abp_jp

アナログな日常とデジタルの接点

Adblock Plus で Canvas Fingerprinting をブロックできない!?誰がそんな寝言…

広告をブロックしていることでメディアを敵に回しているためか、Adblock Plus 等の広告ブロックアドオン/拡張について不正確な記事を目にすることがしばしばある。細かく引用しつつ指摘するのは骨が折れるので、普段はスルーして相手にしないんだが…「世間にはこのくらい不正確な情報が堂々と流通してるんだよ」と大人の社会見学みたいに理解してもらうため書くとする

まず今回の記事の大元となるレポート


ラッキングを永続化する手法が紹介されてます

    • Canvas Fingerprinting Scripts(← コンピュータ環境の違いで生じる、文字列を画像化した際の「違い」をユーザー識別に利用する手法)
    • Evercookies & Respawning(← Flash の Local Shared Object を使ってクッキーが消されてもその内容を復活させる手法)
    • Cookie Syncing(← 動的に生成されたパラメータ付き 1x1 画像等を使ってドメインをまたいでクッキーデータを共有する手法)

以下では問題の記事で引用された「Canvas Fingerprinting」を中心に見ていく

Canvas Fingerprinting script が確認できた Alexa Rank 上位10万以内の Web サイト一覧

上記レポート内のデータで2014年5月1日〜5日時点のもの


スクリーンショットズレてる... orz)
自分で集計してみたところ…

Canvas Fingerprinting スクリプト提供元 件数 割合(小数点以下四捨五入) 割合を算出する計算式
addthis.com 5282 94% 5282/5619*100
ligatus.com 115 2% 115/5619*100
合計 5619 100% 5619/5619*100

ということで、Adblock Plus で適切なフィルタを使っていれば安心ねというだけの話です

ところが、上のレポートを引用したはずの ProPublica 英文記事がどうもおかしい…

  • AdBlock Plus を使っても防げない!?(大元のレポートと矛盾するし、Adblock Plus はあっても AdBlock Plus はないんだが…)

更に記事を読み進めると「How You Can Try to Thwart Canvas Fingerprinting(Canvas Fingerprinting を回避する方法)」が書いてある。こっちの内容はまともだ

  • ネットワーク速度が遅くなるけど Canvas Fingerprinting 対策が施されている Tor Browser を利用する
  • 動作しなくなる Web サイトもあるが、ブラウザの設定で JavaScript 実行を無効にする
  • 煩雑だが Firefox のアドオン NoScript を利用する
  • 既知の Canvas Fingerprinting 提供元しかブロックできないが、Disconnect、或いは EasyPrivacy がインストールされた AdBlockPlus(← 大文字小文字の間違いに加え、もはやスペースもないが…)を利用する
  • アルファ版にも達してないが、Chameleon を利用する
  • opt-out クッキーをインストールして Canvas Fingerprinting 提供元にトラッキングに基づく最適化をやめるようお願いする

どの対策も一長一短だ

内容が不正確な ProPublica の記事を、この分野に詳しくない Gizmodo 英語版のライターが引用して内容劣化

  • 引用元に引きずられ、AdBlock Plus が使えないとミスタイプしつつ大元のレポートとも矛盾する内容を書いている
  • Canvas Fingerprinting を回避する方法として、引用元と異なり Tor ネットワークを利用と書いているがこれは正しくない。正確には引用元の通り Tor Browser を使わなければ期待された通りの効果は得られない
  • Chameleon はブラウザではなく、引用元の通り Google Chrome 用拡張のことだ
Gizmodo 英語版の不正確で劣化した記事を、この分野に詳しくない方が翻訳し読者混乱


英語版の記事の間違いをそのまま翻訳してしまってる…

  • Canvas fingerprintingは厄介です。AdBlock Plusでもブロックできないし…」と翻訳元の大文字小文字の間違い不正確な主張を継承しています

読み進めていって「先述のProPublicaには、回避する方法もいくつか出てます」とあって

  • 「まず、Torネットワークを使ってオンラインに匿名でアクセスすれば、どんな種類の追跡でも回避できます」翻訳元の不正確な記述を継承しています。正しくは「Tor Browser を使う」です。Canvas Fingerprinting 対策が施されているのは Tor ネットワークではありません
  • 「この種の追跡を交わすようデザインされたブラウザ「Chameleon」をダウンロード…」翻訳元の不正確な記述を継承しています。Chameleon はブラウザではありません
  • 「残るはブラウザからJavaScriptをまるごと消去するぐらいしか打つ手ナシ」これは原文も怪しいものの、翻訳の間違いで正しくは「ブラウザに読み込まれる JavaScript を全てブロックする(要するにブラウザの JavaScript を無効にする)」です。

まとめ

  • 今回は Persistent Tracking (トラッキングの永続化手法)について調査したレポートが
    1. ProPublica に都合よく引用/煽られ
    2. その内容を劣化させながら Gizmodo 英語版が引用し
    3. それを更に Gizmodo 日本語版で内容を修正せず、一部誤訳した状態で日本語化してしまった…
  • Adblock Plus適切なフィルタと共に使っていれば Canvas Fingerprinting をはじめサードパーティのトラッキングのほとんどを防ぐことが「できます
メディア側の教訓
  • 間違うのは簡単だが、確認/訂正は難しいので
    • いい加減な記事をレビューせずに引用しない
    • いい加減な翻訳をレビューせずに公開しない
  • 「引用元が間違えたのが悪い」なんて言い出したらメディアやジャーナリズムはオシマイよ(記者クラブの始まり♪)
読者側の教訓
  • 読者もこういった客寄せパンダのネタサイトを読むなとは言わないが、記事の精度は最初から期待できないので引用元を確認することなく「人気サイト◯◯に書いてあった!」「まとめサイトに書いてあった」「有名ブロガー◯◯が言ってた!」みたいに煽られて盲信を拡散するのはやめよう
    • 例)Adblock Plus はお金を払ったとこの広告はブロックしない
    • 例)インターネットは広告なしには成り立たない

Wikipedia でさえ正確ではない(引用元の記事が不正確だから。面倒だけど気が向いたら訂正…誰か代わりにやりませんか?)

[付録] Adblock Plus 作者による Canvas Fingerprinting についてのコメント

  • EasyPrivacy 使ってるなら5年ほど前より AddThis ブロックできてたけどね…