世界を動かす技術を、日本語で。

MetaがInstagramとFacebookを通じてAndroidユーザーを「密かに追跡」していることを発見

2025年6月5日原文(news.sky.com)

概要

  • MetaとYandexがAndroidユーザーのブラウザ活動を 秘密裏に追跡 していたという指摘
  • 追跡はユーザーの 同意なし に行われ、プライバシー懸念が浮上
  • Googleはこの行為が セキュリティ原則に違反 していると認めた
  • Metaは問題解決のため 機能停止、Yandexは 違反を否定
  • FirefoxやDuckDuckGoなど 他のブラウザも影響 を受けた

MetaとYandexによるAndroidユーザーの秘密追跡

  • Radboud UniversityおよびIMDEA Networksの 研究者による発見
  • Meta(Facebook、Instagram)やYandex(Yandex Mapsなど)の アプリがバックグラウンドで動作
  • ユーザーの 同意なしにブラウザ活動を追跡
  • スクリプトがAndroidの セキュリティ制御を回避 し、アプリにデータを送信
  • Webブラウジングとモバイルアプリ活動の データを橋渡し
  • ユーザーが シークレットモード を利用していても追跡可能
  • 主要なAndroidブラウザ(Firefox、Microsoft Edge、DuckDuckGoなど)も 影響範囲
  • 研究者によると、Metaは 約8ヶ月間、Yandexは 2017年から 追跡活動を実施
  • FacebookはEUからのアクセスで 約16,000サイト、Yandexは 1,300サイト で追跡

各社・関係者の反応

  • Googleは「 意図しない方法でAndroidの機能が悪用 された」とコメント
  • Metaは「 Googleとの誤解を解消するため協議中」「問題発覚後に機能を一時停止」
  • Yandexは「 データ保護基準を遵守」「当該機能は 個人情報を収集せず、パーソナライズ目的のみ」
  • Googleは「 侵害的な技術を緩和するための変更を実施」「独自調査を進行中」
  • MozillaやDuckDuckGoのエンジニアも 追跡防止策を実装

プライバシーとセキュリティへの影響

  • ブラウザやモバイルプラットフォームの プライバシー制御が無効化
  • ユーザーの 行動追跡リスク の増大
  • プライバシー保護技術の 信頼性への疑念

今後の対応・動向

  • Googleによる 追加調査と対応策
  • MetaとYandexの 今後の運用方針の注視
  • 他ブラウザによる 対策強化の動き
  • ユーザー側の プライバシー意識向上 の重要性

Hackerたちの意見

ディスカッション (447ポイント, 1日前, 302コメント) https://news.ycombinator.com/item?id=44169115

ありがとう!マクロ拡張:Androidでのローカルホストを介した隠れたウェブからアプリへの追跡 - https://news.ycombinator.com/item?id=44169115 - 2025年6月(308コメント) メタ、研究者が問題を指摘した後、Androidでのモバイルポート追跡技術を一時停止 - https://news.ycombinator.com/item?id=44175940 - 2025年6月(26コメント)

if (cookies.accepted) { trackUser(); } else { trackUserAnyway(); }

else { trackUserCovertly(); }

最近、ウェブサイトがこのシンプルな「クッキーを受け入れる」ボタンをどう扱ってるか見てみたんだけど、君の例みたいにやってるところが多かった。でも、もっとこういう感じだったよね {trackUser(); } else {trackUser(); } その効果はポップアップを閉じるだけだった。市販のクッキー同意ライブラリの中には、実際のクッキーをオフにする機能を持ってないものもあるみたい。

これはコンピュータ詐欺および悪用防止法の違反になるのかな?サンドボックスを抜け出して他のアプリのデータを見てるから、そう思うんだけど。他のケース(例えば、クラウドプロバイダーのVMから抜け出すこと)も明らかに違反だし。大企業が個人に対して法を犯すのを見ても、個人が同じことをするよりは悪くないって考える人もいるけど、それはおかしいよね。むしろ、前者の方がスケールの可能性がある分、より有害だと思う。

君の意見には賛成だよ。ただ、判決が出るのを待ってる間に息を止めるのはやめた方がいいね。

「サンドボックスから抜け出す」ってのが実際に起きてることかどうか、ちょっと曖昧だよね。誰もこんなことが起こるとは思ってないけど。機能自体は知られてるし、ほとんどの人が望んでることだよね。* アプリがデバイス上でローカルのTCP/UDPポートを開いて、お互いに通信できるのはいいことだと思う。これは価値のある機能だし、共有ストレージへのアクセスと同じくらい大事だよ。アプリが漏らしたくない情報は漏れないしね。* アプリは実行中のデバイスのユニークなフィンガープリントを取得できる。これも望まれてることだよね。バックエンドは誰と話してるのか知りたいし、MitMやハイジャックされたアカウントじゃないってことを確認したいから。* ブラウザもそのローカルサーバーと通信できる。これも便利だと思う。ネイティブアプリがウェブアプリにはない機能を持ってる限り、それをウェブAPIの拡張として提供できるべきだよね。要するに、FacebookのネイティブアプリがFacebookのウェブアプリ(というか、Facebookのパートナーサイトから配信されるFacebookのウェブコード)に対して、どのマシンで動いてるかを教えてるってことだよね(ユーザーアカウントのクッキーとか、履歴に関する詳細も含めて)。これはユーザーがパートナーサイトに自分について何を保存するか期待していたことに反してる。これが問題なんだよね。でも、私が見る限り、デバイスのセキュリティの問題ではないと思う。Facebookはクッキー追跡ルールの精神を破ったけど、法律には触れてない。

どうしてそう思うのか分からない。彼らがやってることはOSによって明示的に許可されてることだよ。もし違反があるとしたら、それはプライバシーやデータ収集の法律に関することだね。

いや、そういう法律は一般的に所有者層には適用されないよ。

この質問でWikipediaを調べてたら、新しい用語を見つけたんだ。「オルガニカル・カルチュラル・ディビアンス」ってやつ。>「オルガニカル・カルチュラル・ディビアンスは、企業犯罪を逸脱行為につながる社会的、行動的、環境的プロセスの一体として見る最近の哲学モデルです。」>「これは、企業文化が広い社会で正常または受け入れられていることとは異なる逸脱行為を奨励または受け入れる可能性があるという見解を反映しています。」 つまり、Facebookがやってることが犯罪かどうかは別として、彼らは自社の文化がそれをやってもいいと根本的に信じているからやってるんだよね。社会全体が同意していなくても。それが組織に対して刑事告発をする正当化になる。組織の文化が犯罪行為を助長するから、組織自体が告発されて、必要なら解散(企業の死刑)されるべきなんだ。

メタのアプリがメタのクライアントライブラリと通信して、メタ由来のクッキーを送信しているようだね。クッキー同意の観点から見ると、これはJavaScriptをホストしてクッキーを使用しているファーストパーティにのみ適用されるべきなんだけど、メタ広告クライアントにとってもそれは正しい。つまり、悪意のある行為者の主張は、メタが多くのファーストパーティ(メタの顧客)から広範にデータを収集しているってことだけど、彼らはそれを持っているんじゃないの?もし二つのファーストパーティが互いのユーザーデータを知ることを許可していないなら、法律の枠組みに沿っているんじゃないの?

Hacker Newsで議論の続きを見る