MetaがロシアのYandexと同じ手口でユーザーの行動を追跡していたことが判明、何百万ものウェブサイトに「スマホのアプリと通信するコード」を埋め込んで追跡しておりブラウザの履歴を削除しても無駄

2025年06月04日 13時00分 セキュリティ

FacebookやInstagramの運営元であるMetaはウェブサイトの管理者向けに宣伝効果測定ツール「Metaピクセル」を提供しており、Metaピクセルは数百万のウェブサイトで使用されています。このMetaピクセルに「スマートフォンにインストールしたMeta製アプリと通信するコード」が含まれており、ユーザーのウェブサイト閲覧行動をひそかに追跡していたことが明らかになりました。また、ロシアの大手検索エンジン「Yandex」も同様の手法でユーザーを追跡していたことが明らかになっています。

Covert Web-to-App Tracking via Localhost on Android

MetaピクセルはMetaのウェブ広告の効果を測定するツールとして提供されており、600万以上のウェブサイトで使用されています。このMetaピクセルに「スマートフォンにインストールされているFacebookやInstagramなどのMeta製アプリと通信するコード」が含まれていました。

Metaの追跡手法を説明した画像が以下。Metaピクセルは「ページのURL」や「ウェブサイトおよびブラウザのメタデータ」をMetaのサーバーに送信しており、それと同時にスマートフォンにインストールされたMeta製アプリからアカウント情報を含むデータがMetaのサーバーに送信されていました。これにより、Metaは各ユーザーがどんなウェブページにアクセスしているのかを追跡できていたというわけ。この手法を用いるとサードパーティーCookieなどを介さずともユーザーの行動を追跡できるため、サードパーティーCookieの使用を無効化したりブラウザの履歴を定期的に削除したりといった追跡対策を回避できてしまいます。

また、Yandexもウェブサイト分析ツール「Yandex Metrica」を用いてMetaと同様の追跡手法を展開していました。

追跡手法を発見した研究チームによると、問題の追跡はAndroidで実行されていることが確認されており、今のところiOSでは確認されていないとのこと。研究チームはウェブブラウザの開発者に問題を報告しており、「Chrome」「Firefox」「DuckDuckGo」「Brave」が対応を進めています。また、研究チームは「完全に対処するには、OSのローカルホスト関連のセキュリティ強化などが必要」と指摘しています。 なお、研究チームが上記の追跡手法をインターネット上で公開した後、Metaは追跡に関連するコードを削除しています。