ブラウザフィンガープリント、その凄さ〜Torブラウザアクセスの識別可能性まで〜

フィンガープリントとは

ブラウザフィンガープリント技術（以下、FP技術）とは、文字通り、ブラウザの指紋を使ってブラウザをサーバ側で識別する技術です。
ここでの「識別」とは、同一ブラウザからのアクセスを同一ブラウザからのアクセスと判定し、違うブラウザからのアクセスは違うと判断することを言っています（図1）。

図1 フィンガープリントの識別の概念

よく誤解される方がおりますが、これはあくまでサーバ側での識別です。（追記：「Torブラウザがどのサイトへ接続しているのか？」を識別するWebサイトフィンガープリントとも違います）また、どこの誰がアクセスしているのかというように、利用者を特定しているわけでもありませんのでご注意ください。

クッキーによる識別をご存知の方には、「クッキーによるセッション管理やトラッキングでの識別と同じです」と説明した方が分かりやすいでしょうか。FP技術自体は、クッキーの代替技術と知られています。

最近、ブラウザベンダ各社がサードパーティークッキーの利用を制限したり、某国の個人なんとか委員会や公正取？？委員会でも喧伝している話題とも言えます。技術的な理解が足りていない議論や記事も散見されていますが、この辺りの技術は世界的には注目されていると思います。

具体的にFP技術ってどうやっているの？という質問に簡潔にお答えするのは難しいのですが、こちらに我々の研究室の解説ページを用意しております。よろしければご参照ください。

どれくらいの精度がでるの？

さて、FP技術の識別はどの程度の精度が出るの？という疑問が湧いてくるかと思います。実際、私も最近たくさん問い合わせを受けております。

クッキーの代替技術と言いつつも、FP技術は推定による識別を行うので決定論的な識別技術であるクッキーと違い、当たり外れの確率の問題が避けられません。

精度というのは評価軸によって上下しますし、ビジネスでの展開においては利用するシーンが違うので、正確な評価は難しいのですが、

個人的な感覚でお伝えしますと、最近の状況においては「サードパーティークッキーを利用した識別と比べて、FP技術の方が精度が高いようだ」

と感じております。

最近、ブラウザベンダによるサードパーティークッキーの利用の制限などなどにより、（サードパーティー）クッキーの識別はかなり精度が落ちているようで、それと比べると、FP技術による識別の精度は比較的高い結果となっているようです。

FP技術自体は、ネットで怪しい記事がたくさんあります。「FP技術による識別の精度は比較的高い」とか言うと眉唾な印象を持つ方もいるかと思います。

ただ、ネットの解説記事を読んでみると、OSSのライブラリをちょっと使っただけで「FP技術は使えない」と断言されてしまっているようです。

FP技術は結構奥深いものでして、ライブラリをチョチョイと使っただけでは精度は全く出ません。←これ重要です。

また、FP技術を売りにしているサービスも最近は精度が？？のようです。←これも重要です。

せっかくなので、この場で我々の成果を少しだけ紹介させてもらうと、モバイルの結果だけの紹介ですが、以下のような精度が出ています。サンプルとしては、総アクセス数2千万以上のアクセス、60万種類の端末で実験で、表1のような結果を得ています。

表1 FP技術による識別精度

これらの評価軸は少し専門的な知識が必要ですが、いわゆる、白を黒（図2のFN）や黒を白（図2のFP）をというような誤判定の割合がかなり低いということです。

図2 端末識別子による正解に対し、FP技術による判定での「同一」「異なる」の場合分け

今回ご紹介した結果はいくつかの実験のうちの一つでして、結果についてはかなり自信を持っております。
また同時に驚きの精度だと思っております。

Torブラウザで試してみた

最近、このFP技術を応用し深層学習技術用いて、Torブラウザのアクセスについての識別も試してみました（図3）。（深層学習技術用いたFP技術のエピソードも以前ブログ記事にしたので、よろしければご笑覧ください）

補足（2020/01/31 8:43）：図3を修正。サンプル採取の場所が元の図3では別の場所だったので、実際の通り、サーバ側に楕円を移しました。

図3 Torブラウザのアクセスを深層学習により識別した実験

サンプルとして、総アクセス数3,889、152端末と少なめですが、識別の精度は表2のように、かなりびっくりする精度で識別できています。

表2 Torブラウザのアクセスを深層学習により識別した実験の結果

この内容を、明日（2020/01/31）、SCIS2020という学会で発表します。

サンプル数が少なく、研究としてはまだまだ初期段階なので、信頼できる技術と位置付けるにはもう少し検証実験を繰り返す必要があると認識しております。が、しかし、こちらも正直驚きの精度ではあります。

一般的な方ですと、この成果はどのようなことに利用できるのか？という疑問を持たれるかと思います。

今回の研究＝Torブラウザの識別は研究としても初期フェーズなので、応用はまだ考えていないのですが、、、例えば、Torを使ったアクセスにおいて一旦どこかにアクセスすると別のところで別の人のふりをしても、同じTorブラウザからであればそれらのアクセスを紐づけることができるので、もしかするとTorの匿名性も少し制限されてしまうかもしれません。

2020/01/30

P.S.
2021/02/12
こちらも記事もご参照ください→
「ブラウザフィンガープリンティングを使ってクロスデバイストラッキングをやってみた！」

宣伝

• 情報セキュリティ研究室ではメンバーを募集しています
• 企業様からの委託研究・協業を募集しております

＞＞ saito（a）saitolab.org までお気軽にご連絡ください ＜＜