2008年11月30日

楽天ad4Uはスパイウェア?ユーザーは履歴が丸見えに

これも楽天ユーザーさん、特にInfoseekユーザーさんには伝えといた方がいいよな。

>行動ターゲティング広告はどこまで許されるのか
http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008

高木浩光氏の指摘で成程と。

>ブラウザーの「バグ」を用いた行動追跡

>「楽天ad4U」は、「ユーザーのブラウザー側で保有している履歴情報をもとにユーザーの嗜好を解析して、広告を配信するという仕組み」だという。これはどういうことか。筆者が調べたところ、ブラウザー側の欠陥を突くことによって閲覧履歴を取得するものであることがわかった。

>仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。

>特定のサイトのURLを隠しリンク(画面上には表示されない)としてブログに埋め込んでおき、表示色を取得するプログラムを仕掛けておけば、訪れた人がそのサイトに行ったことがあるかないかを、ブログの開設者は密かに知ることができてしまう。たとえば、アダルトサイトのURLを埋め込んでおけば、訪問者が過去にそのアダルトサイトを利用したかどうかがわかってしまうことになる

>このようなことができてしまうのは、一部のWebブラウザーに古くから存在する欠陥が原因である。WebブラウザーのFirefoxでは、2002年5月に「バグ番号:147777」として報告されているバグであり、今も解決方法が議論されているものの、HTMLやスタイルシートの仕様上の欠陥であるためスマートな対策方法が見つからず、未解決となっている。同様に、FlashなどのJavaScript機能を持つプラグインにもこの欠陥があるようだ

>楽天ad4Uの実際の広告を調べてみたところ、Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計し、そのカテゴリーの広告を表示するようになっていた

>従来方式の行動ターゲティング広告では、クッキー(cookie)を用いて閲覧者にIDを割り振り、IDごとの閲覧履歴をサーバー側で追跡する必要があったため、これがプライバシー上問題であるとしてしばしば批判されることがあった。ad4Uの方式ではその必要がないため、「プライバシー保護にも優れています」というのだろう。



Cookieから遷移だの探るスパイウェアってのは割とありふれてるけど、
ドリコム曰くCookie使ってないって言ってたから、じゃあどうやってだよと思ってたのだが、

http://www.itmedia.co.jp/news/articles/0806/23/news007.html

>ユーザーの興味を「不動産 首都圏」「転職」「自動車」など15ジャンルに分類。ad4Uネットワークに参加するサイト(当初はInfoseekのみ)にアクセスした際、分類に従って広告を配信する。技術の詳細は非公開だが、cookieは利用していないという。



Flashプラグインのバグを利用したスパイウェアじゃねーか!
実際、Infoseekのサイト内ページを開きっぱなしにしておくと、
操作側が何もしていなくても、何故か接続が急に発生する挙動とかをしてる。
多分、その時に貴方のみたページのデータの一部は覗かれてますよと。

これ楽天関連のサービスをAdblockアドオンだので広告非表示とかにしてやればよろしいのかねと?
http://firefox.geckodev.org/?Adblock

それこそ運営側の広告事業に致命的な事になりかねないと思うのですが。

>ブラウザー側のバグを突くプログラムを配信するという手法は次の2つの点で問題があるのではないか。

第一に、将来、ブラウザー側のバグが修正されたら、この広告は機能しなくなる。バグの存在を前提にしたシステムをビジネスとして展開することにリスクはないのか。

 このような利用が広く普及してしまうと、ブラウザー側でバグを修正する動きに対してブレーキをかけることにもなりかねない。その結果として、先に述べたブログでアダルトサイトの閲覧の有無を盗み見るような悪質な行為を防げなくなってしまう。

 第二に、このような方法で閲覧履歴を参照するプログラムは、現在国会で継続審議となっている刑法改正案の「不正指令電磁的記録作成等の罪」(いわゆる「ウイルス作成罪」)のいう「不正な指令」に該当するおそれがあると筆者は考える。なぜなら、これは、人がブラウザーを使用するに際して「その意図に反する動作をさせる」プログラムだからだ。

 ウイルス作成罪は未成立であるから合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか。英語圏ではこうした行為に対して必ず批判の声が上がるもので、こういうプログラムは「スパイウエア」と認定されると筆者は考える。それに対して日本では、表立って批判する人がほとんどいないため、このようにいつの間にか実用化されてしまう。



>ドリコムと楽天が行動ターゲティング広告 「ドリコム成長のドライバーに」
http://www.itmedia.co.jp/news/articles/0806/23/news007.html

>ドリコムが開発し、特許を申請中の技術「ad4U」


ブラウザやプラグインのバグを利用したスパイウェアを特許申請
スパイウェアを成長のドライバーに!!

EC業務といいつつ、個人情報漏洩やポイントバラマキ事件だのあまりにもWebドシロートな楽天関係者はこういう自覚も無いんだろうな。

楽天、少なくともInfoseekをみている貴方。
あなたのブラウザ履歴は覗かれている可能性があります。
それでもInfoseekや楽天を使いつづけますか?

その場合はスパイウェアが埋め込んであるであろう広告の非表示をお薦めします。

もしくはFlash自体重くてウザイって人はプラグインレベルで止めちゃうとかね。


--追記

楽天Blogに上記エントリ書き込んだら

>わいせつ、もしくは公序良俗に反すると判断された表現が含まれています

だとよ!

投稿させないようにフィルタリングしてやがる!

自社への問題提起を許さない言葉狩り!

おつむ弱すぎるね。他所で俺は同じ内容掲示するぜ。こうやって。

posted by wolf_howling at 06:14 | TrackBack(0) | Web | このブログの読者になる | 更新情報をチェックする

この記事へのトラックバック

最近の記事