世界を動かす技術を、日本語で。

Googleタグマネージャーの無効化 (2022)

概要

  • Google Tag Manager(GTM)とGoogle Analytics 4(GA4) は、現代ウェブにおける 監視の中心的存在
  • サーバーサイド運用ファーストパーティ化 による ブロック回避戦略 が進行中。
  • JavaScript無効化 は依然として 有効な防御策
  • 多くのウェブサイトは意図的にJS依存 へ移行し、ユーザーに 監視を強制
  • ユーザーの集団的行動 が、監視ツールの無力化につながる可能性。

Google Tag Managerの危険性と現状

  • Google Tag Manager(GTM) は、ウェブ上で最も 強力かつ不透明な監視ツール
  • サードパーティCookieから ファーストパーティCookie への移行による ブロック回避
  • サーバーサイドGTM 運用も拡大し、 従来のコンテンツブロッカーが効きにくい 状況。
  • Googleの利用規約違反 にもかかわらず、サーバーサイド利用が黙認されている現実。
  • 本質的な目的は監視 であり、Google Analyticsとの連携で 個人特定・心理的弱点の搾取 が加速。

Google Analytics 4と監視の深化

  • かつてのGoogle Analytics は単なるアクセス解析ツールだったが、 GA4+GTMによる詳細な行動追跡 が可能に。
  • ページスクロール、クリック、マウス移動、キー入力、滞在時間 など、あらゆる動作を記録。
  • 個人識別・実験・心理分析・搾取 のためのデータ収集基盤化。
  • 政府サイトにもGTMが導入 され、 プライベートな行動までGoogleが追跡

サーバーサイドGTMとブロック回避

  • uBlock Origin などの拡張機能はクライアントサイドGTMをブロック可能。
  • サーバーサイドGTMファーストパーティリソース となり、従来のブロッカーを回避。
  • サーバーサイドでのGTM運用 でも、 JavaScript無効化 により大半のタグは動作不能。

JavaScript無効化の防御効果

  • JavaScript無効化GTMやGoogle Analyticsの監視機能の大部分を無効化
  • キーロガー、マウス監視、フィンガープリント なども同時に防御。
  • noscriptタグによるiFrame型フォールバック もあるが、 多くのタグはJS必須
  • トラッキングピクセル などは別途対策が必要。

JavaScript依存サイトの問題点

  • 静的ページでJavaScript必須 は、本来不要なはず。
  • 意図的にJS依存化し、監視拒否ユーザーを排除・罰する設計
  • 「JavaScriptを有効にしてください」メッセージが表示できるのに、本文が表示できない理由は意図的な隠蔽
  • JS依存サイトは利用を避け、代替サイトを選択する集団行動が重要
  • ユーザー離脱が増えれば、サイト側もnoscript対応を強いられる

まとめと推奨アクション

  • GTMとGA4の組み合わせは、かつてないレベルの監視インフラ
  • JavaScript無効化 は依然として 最強の防御策
  • JS依存サイトは極力避けることが、監視社会への抵抗になる
  • 多くのユーザーがブロックを徹底すれば、監視ツールは無力化
  • 個人の行動が全体の流れを変える可能性

Hackerたちの意見

監視をブロックするのには賛成だけど、JavaScriptをブロックするのって本当に疲れるよね。そうすると、ほとんどのインターネットが動かなくなるし。

そんなことないよ。私は何年も前から全部のJavaScriptをブロックしてて、サイトが動くために必要なものだけ選んで許可してるか、プライベートセッションを使ってもっと許可したり調べたりしてる。ほとんどのサイトは、自ドメインにホストされてるものだけ許可すれば問題なく動くよ。ちょっと手間はかかるけど、健全なインターネットを手に入れるためにはそれくらいの代償は払う価値がある。結局、強い信念を持つのは簡単じゃないよね。もし簡単だったら、みんなやってるはずだし。

思ったより簡単だよ。デフォルトで全部ブロックされるuBlock Originを使って、必要なものだけ選んで許可してる。

ずっとその話を聞いてるのと同じくらい疲れるよ。最近はあまり話題になってないから助かるけど、この記事にはこっそり入ってたね。「監視」って言葉が頻繁に使われてたのが早いサインだったかも、笑。

JSのホワイトリスト化は、私の方ではしばらくうまくいってるよ。これなしでスマホでネットサーフィンすることはないし、すべてが瞬時に読み込まれるし、本当に重要なサイトは何年も前にホワイトリストに入れてる。

動かないサイトって、だいたい最悪のウェブサイトだから、あんまり気にしなくていいよ。もしお店とかだったら、実際に買いたいときだけJSを解除すればいいし。

StackOverflowは、ここ1年くらいでajax.google.comからGTMに切り替えたよ。自分たちでホストできる無駄な古いjQueryコードのためにね。Googleが彼らのサイトからユーザーの統計を集めるために、いくら払われてるのか気になるな。

スクリプトを実行させようとする人たちは、ほんとうの友達じゃないよ。

知るのは不可能だね。だって、JavaScriptを無効にすると「インターネットの大多数」が問題なく動くから。ウェブの大部分も同様だよ。HNを読んでるけど、HNに投稿されたサイトはTCPクライアントとテキストブラウザを使って、JavaScriptエンジンなしでHTMLをテキストに変換してる。キーワードは「読む」だよ。JavaScriptはドキュメントをリクエストしたり読むのには必要ない。ウェブ開発者は使うかもしれないけど、それがHTTPリクエストを送ったり、HTMLやJSONを読むのに必要だとは限らない。もしウェブユーザーがリクエストや読み取り以外のことをしようとしているなら、たぶん「うまくいかない」かもね。

他の人たちと同じように、私は何年もNoScriptを使ってて、今ではほとんど気にならないよ。多くのサイトはこれなしでも動くし(ランダムなニュースやブログなんかは、むしろこっちの方が良かったりする)。サイトが動かない時は、訪問頻度に応じて一時的に許可するか、永久に許可するかを選ぶ。だいたい5秒くらいで済むし、その5秒を使うのは一回だけで済むことが多い。おかげで、すごく快適なウェブ体験ができてるよ。

それは状況次第だね。お気に入りのサイトでブロック設定を調整して99%の時間を過ごしてるなら、ほとんど問題ないよ。でも、仕事でいろんなベンダーのサイトに行く必要があるなら、かなり面倒だと思う。1日に15回以上、サイトごとの設定をいじることになるかもしれないからね。

surveillanceware その言葉はスパイウェアだと思ってた。surveillancewareって、悪いことを防ぐために必要なものみたいに聞こえるね。これはスパイウェアを悪くないように聞こえさせるための企業のリブランディングかな?

Hacker Newsで議論の続きを見る