新しい研究により、MetaとYandexのアプリがどのようにAndroidのプライバシーを回避し、何十億ものユーザーを監視していたかが明らかになりました。隠されたトラッキングがどのように機能していたのか、今後何が起こるのかについて学びましょう。
| Metaのピクセル | 580万サイトでユーザーを追跡 |
| 影響を受けたユーザー | 世界中の何十億ものAndroidデバイス |
| シークレットモードは? | 安全ではない—プライベートブラウジング中も追跡が持続 |
| 即時停止 | Metaは2025年6月3日の暴露後に技術を停止 |
スクロール、いいね、ブラウジング—自分がコントロールしていると思いますか?考え直してください。IMDEAネットワークス研究所からの画期的な研究は、驚くべきプライバシーの盲点を明らかにしました:FacebookとInstagramのアプリは、Androidユーザーがオンラインで何をしているかを秘密裏に追跡していたのです—プライバシー設定にかかわらず、シークレットモードでも同様です。
Metaの隠れたトラッカーはどのように機能したのか?
あなたのスマートフォンを賑わいを見せる都市として想像してみてください。FacebookまたはInstagramをインストールするたびに、これらのアプリは静かに秘密の「リスナー」を有効にします—特別なネットワークポートに潜むバックグラウンドサービスです。
Metaのトラッキングピクセルが埋め込まれたウェブサイト(580万サイトが該当)を訪問すると、埋め込まれたJavaScriptがこれらの秘密のチャネルにアクセスします。あなたがシークレットモードにいるか、ブラウザでFacebookにログインしたことがないかは関係ありません—あなたのユニークなブラウジングセッションとデバイスIDはアプリに静かに流れ戻ります。FacebookまたはInstagramのアプリは、このプライベートなウェブ活動を直接Metaのサーバーに中継し、あなたのログインプロフィールに直接関連付けます。
この方法がなぜ危険なのか?
従来のウェブトラッカーはクッキーによって生死が決まりますが、これには当てはまりません。このトリックは、Androidの権限システムを利用して、ブラウザのコントロールやプライバシー設定を完全に回避しました。クッキーを消去する?無意味です。ブラウザで未ログイン?関係ありません。あなたの活動はまだ静かにFacebookとInstagramのデータバンクに流れ込んでいました。
IMDEAのテストによると、最も人気のある10万サイトのうち、驚くべきことに、78%のページがMetaのピクセルを使用し、これらの秘密のローカルチャネルを通じて通信を試みていました—あなたに一切の確認を求めることなく。
Q: Androidのプライバシーツールは私を守ってくれなかったのか?
いいえ。このメソッドはオペレーティングシステムレベルのネットワークソケットを利用していたため、Androidのプライバシーシステムは全く検知できませんでした。シークレットモードやトラッキング保護のような強力な機能さえも無力でした。
Yandexの戦略はどのくらい巧妙だったのか?
ロシアの大手Yandexも負けじと、リスクを高めました。彼らのマップ、ブラウザ、検索アプリは、AppMetrica SDKを使用した「コマンド・アンド・コントロール」スタイルのシステムを駆使しました。Yandexアプリをインストールすると、監視は数日間遅延され、より検知を回避します。研究者たちは、このシステムの柔軟性をマルウェアに例え、アプリがYandexのサーバーから直接トラッキングの指示を取得し、300万のトラッキングサイトで何十億ものユーザーを監視していることを発見しました。
さらに悪いことに、Yandexは暗号化されていない通信を使用していたため、悪意のあるアプリが盗聴し、あなたのウェブ活動のリアルタイムログを盗むことができました。
Q: 悪意のあるアプリが事態を悪化させる可能性は?
もしMetaとYandexが聞いているのなら、マルウェアも同様です。IMDEAのチームは、同じポートを利用して悪用する概念実証アプリを開発しました。その結果:どんな悪質なアプリでも、あなたのブラウジング履歴全体を盗む可能性があるのです—プライバシーに敏感なユーザーが期待する以上のことです。
ウェブサイトの運営者はどのように反応したのか?
ウェブサイトの運営者は突然のことで驚きました。フォーラムの投稿には混乱と不満が溢れ、開発者がMeta Pixelライブラリからの説明のつかないローカル接続を発見しましたが、MetaやYandexからの公式な文書やサポートは見当たりませんでした。
Q: プラットフォームやブラウザは今何をしているのか?
反発は迅速に起こりました。研究が公にされた後、Metaのトラッキングパイプラインは2025年6月3日に世界中で突然停止しました。Google Chromeのバージョン137は、これらのポートをブロックし、これらの接続を隠すためのトリック(「SDPマウンジング」と呼ばれる)を無効にします。他のブラウザメーカーも、同様の抜け穴を迅速に修正しようとしています。
それでも、根本的な弱点は残ります:現在のモバイルオペレーティングシステムでは、localhost接続をコントロールや監査する手段がほとんどなく、高度なトラッカーや悪意のある攻撃者にオープンドアを提供しています。
ユーザーは今後どのように自分を守ることができるのか?
今のところ、確実な防御手段は?Facebook、Instagram、およびYandexの主要アプリをアンインストールすることです。研究が強調するように、持続的な保護には新しいサンドボックス戦略、より厳しいプラットフォーム規則、そしてより良いアプリストアの検査が必要です。
秘密の監視があなたの物語の語り方を決めることを許すな—今すぐより強いプライバシーを求めましょう。
—
行動を起こす:2025年のプライバシーチェックリスト
- ブラウザを最新バージョンに更新する(Chrome 137+推奨)
- AndroidデバイスでFacebook、Instagram、Yandexのアプリの使用を再考する
- アプリの権限を定期的に確認し、信頼できないアプリを削除する
- 主要なプライバシー関連ニュースソースを監視し、大手テクノロジーに対して説明責任を求める
- 独立した科学と技術のジャーナリズムを支持して情報を得る
鋭くあり続け、安全であり続け—そして、あなたがふさわしいデジタルプライバシーを推進し続けてください。
