Metaの「localhost tracking」手法、最大320億ユーロ(約47兆ウォン)の制裁金リスク

 (zeropartydata.es)
8 ポイント 投稿者 GN⁺ 2025-06-11 | 5件のコメント | WhatsAppで共有
  • MetaはAndroidサンドボックスを迂回する追跡手段(「localhost tracking」)を開発し、VPNやシークレットモード、Cookie削除の有無にかかわらず、ユーザーの実際の身元とWeb閲覧活動を結び付けて追跡していた
  • この手法では、Metaアプリ(バックグラウンド)ブラウザ内のMeta Pixelスクリプトがローカルネットワークポートを通じて情報をやり取りし、ログインしていなくてもユーザーの**_fbp Cookie**をアカウントと関連付ける
  • この手法により、Webブラウザ上の行動と実際のFacebook/Instagramアカウントが結び付けられ、ユーザー同意なしに大規模な個人情報統合が行われる
  • GDPR、DSA、DMAなど欧州の主要な個人情報保護法に同時違反しており、制裁が累積適用される可能性があるため、最大320億ユーロ(売上比で約4%、6%、10%)の制裁金が科される可能性がある
  • 9か月以上にわたり、実際に世界の主要Webサイトの22%(米国内では約1万7,000サイトなど)で、ユーザー同意なしの大規模追跡が行われ、数億人分の個人情報が「明示的な説明なしに」連携収集された
  • 反復的な違反、市場支配力の乱用、技術的回避の意図が明白であることから、史上初の累積最高水準の制裁が科される可能性まで議論されている
  • iOS・PC・アプリ未インストールのユーザーなど一部のみが影響を免れる

Metaの「localhost tracking」技術

  • Metaは**「localhost tracking」**という革新的だが物議を醸す手法を通じて、Androidサンドボックスシステムが意図的に遮断していたユーザー資源識別保護策を回避した
  • Facebook/Instagramアプリがバックグラウンドでスマートフォン内の特定のTCP/UDPポートを開き、「リスニング(受信待機)」状態を維持する(ログイン必須)
  • ユーザーが同じ端末でブラウザからWebサイトにアクセスした際(例: ニュース、ECサイト)、そのサイトにMeta Pixelが設置されていれば、Cookieと行動情報が即座に収集される
    • VPN、シークレットモード、Cookie削除などのプライバシー保護手段を使っても効果がない
  • ブラウザのMeta Pixelスクリプトは、WebRTC(本来は映像・音声通信用)SDP Mungingというトリックを活用し、_fbp Cookieをアプリに直接送信する
  • 同時に同じ情報をMetaサーバーにも別途送信し、オンライン・オフライン両方向の連動追跡を可能にする
  • Facebook/Instagramアプリは_fbp値を受け取り、アカウント固有識別子とともにMeta GraphQLサーバーへ再送信する
    • その結果、Webブラウザ訪問IDと実際のFacebook/Instagramユーザーアカウントが、Web訪問活動と実際の身元を1対1で対応付け強力に結合される

なぜ問題が深刻なのか

  • Androidの設計上禁止されたローカルポート監視/アプリ間の隠密通信を抜け道的に回避している
  • ユーザーがアプリを開かなくても、Webブラウザにログインしていなくても、VPN・シークレットモード・Cookie削除などの防御手段は役に立たない
  • GDPRなどの個人情報保護規制を順守するための明確かつ十分な事前同意なしに情報を収集・連携している
  • 世界のトップサイトの22%が影響圏にあり、9か月(Meta)/8年(Yandex)にわたって数十億人が同意なしに追跡された
  • 収集・結合される情報: 完全な閲覧履歴、カート・購入履歴、Webサイトのフォーム入力、時間帯別の行動パターン、実名アカウントとの接続など
  • iOSおよびPC利用・アプリ未インストール・Brave/DuckDuckGoブラウザのみ例外

主な法令違反項目

  • GDPR: 広告目的の個人情報処理には同意が必要で、データ最小化/プライバシー・バイ・デザイン義務に違反(売上の最大4%)
  • DSA(第26条): プロファイルにより機微情報(嗜好、政治観、健康など)に基づくターゲティング広告を禁止(売上の最大10%)
  • DMA(第5条2項): 中核プラットフォーム間で明示的同意のない個人情報結合を禁止(最大10%、反復時20%)
    • アカウント連携には最低3種類の同意が必要(GDPR、ePrivacy、DMA)だが、1つしか求めていない(強制的な「Pay or OK」代替)
    • すでに2025年4月にはDMA違反関連で2億ユーロの制裁金が科された事例がある

制裁金および処分の見通し

  • GDPR・DMA・DSAはそれぞれ別個の法益と処罰体系を持つため、累積制裁金の算定が可能
  • 理論上の最大制裁金は320億ユーロ。Metaの反復的違反、規制当局との協力不足、市場支配力、意図的回避の状況から、前例的な重い制裁が見込まれる可能性がある

結論

  • Metaの「localhost tracking」手法は、プライバシー保護の技術的・法的基準を悪質に回避した代表的な事例であり、世界的に非常に広範な影響力と深刻さを示している。
  • GDPR/DSA/DMAの複数規定違反に加え、市場支配力や反復違反の記録などが考慮され、史上最大級の累積制裁金が実際に科される可能性がある
  • 規制当局が初めてGDPR・DSA・DMAの累積制裁金(最大320億ユーロ)を科すかどうかに世界的な関心が集まっている

関連記事

5件のコメント

 
luiseok 2025-06-11

承認した管理者クラスの人たちに、社内でどう責任を取らせるつもりなのか分かりませんね。
 
kimjoin2 2025-06-11

iOS は安全なのか気になりますね..
 
brainer 2025-06-11

Q: iOS/他のプラットフォームも影響を受けるのか?
A: 現時点ではAndroidでのみ確認されており、技術的にはiOS/デスクトップ/スマートTVなども潜在的なリスクがある
 
GN⁺ 2025-06-11
Hacker Newsの意見

  • 以前に議論された関連トピックとして、Web-to-Appトラッキング問題とMetaおよびYandexのプライバシー問題をまとめたリンク集を共有。次のような話題に言及している: Washington PostのプライバシーTips(Chromeの使用をやめ、MetaアプリとYandexを削除)、MetaがAndroid利用者をInstagramとFacebook経由でひそかに追跡、研究者の抗議後にAndroidでモバイルポート追跡技術を停止、YandexとMetaがWebRTC経由で追跡データを漏えい、などの紹介

  • 2014年にAndroid版Twitterアプリが自分の端末にインストールされたすべてのアプリ一覧をTwitterサーバーに送信し始めた件を回想。それ以降、ブラウザで使えるサービスはネイティブアプリの代わりにWeb版を使うようにしている。FacebookやInstagramは使っていないので最近どう動いているかは分からないが、当時Facebook Messengerも意図的にブラウザ環境で機能制限していたと感じた。過去10年間、ネイティブアプリは数多くの権限を要求し、ユーザーは深く考えずにクリックして同意してきた。なぜFacebookが自分のWi‑FiやBluetooth情報を見られる必要があるのか疑問。オフライン店舗でもビーコンで人を追跡する事例がある https://en.wikipedia.org/wiki/Facebook_Bluetooth_Beacon 。残念なのは、ネイティブアプリがWebアプリよりはるかに快適で性能も良いという事実

    • Facebook Messengerをブラウザで意図的に使いづらくされた経験を共有。Messenger Liteも使っていたが、結局サービス終了。イベントや連絡先のためにFacebookを使い続ける必要があるが、Messengerアプリは絶対にインストールせず、結局デスクトップモードで無理やり使っている不便さを吐露。フィードには「あなたへのおすすめ」ばかり大量に出て、以前のように中毒的にはならない状況。なぜ利用者を追い出そうとしているのか理解できないが、実際そう感じる

    • ここ数年、Webアプリ自体がひどく妨害されている状況に言及。半分は「アプリをインストールしてください」ポップアップに悩まされ、残り半分はそもそも動作しない。さらにがっかりするのは、今どきのネイティブアプリの大半が実質的にWebViewで、ネイティブUIすら使っていない場合が多いこと。実質Safariと変わらないなら、ただSafariを使わせてほしいという不満

    • 当時は神経質に見えたかもしれないが、ブラウザ版だけにこだわり、今でも後悔はない選択。通知のような気を散らすものからも解放された。AppleやGoogleがプライバシーに本気なら状況は違っていたはず。F-Droidにないアプリはただ待つ

    • こうしたアプリの追跡は今でも完全に合法。すべてのアプリが「セキュリティ目的」で現在インストールされているアプリ一覧や最近実行したアプリを調べられる。連絡先も同様。WhatsApp(自分が管理しているMeta製品で唯一使っているもの)はかなり短い間隔で連絡先情報を確認し、変更が検知されると差分だけをサーバーにアップロードする。今回の騒動の核心は、MetaがGoogleに「cookie matching」の費用を支払わずに、Web上でユーザーマッチングを迂回した点

  • 今回のシステムには、Metaのエンジニアがコードをコミットし、プロダクトマネージャーがチケットで要求を処理した記録が残っている。担当者の年収の一定割合に応じて、Facebookが売上の一定割合で制裁金を受けるのと同じように、彼らにも個人的責任を負わせるべきだという主張

    • 実際に本当に責任を負うべきなのは、こうしたシステムを許可した管理職だと強調

    • アイデアには賛成だが、末端の従業員だけが責任を取り、上層部が免責される方向は正しくない。責任は上まで遡るべきだという見解

    • この話はC.S. Lewisの有名な引用を思い起こさせる。「最悪の悪は、清潔で静かなオフィスにいる背広姿の人々によって計画される」という内容の現代版の事例としてMetaのような大企業をたとえている

    • 倫理的に明らかに問題のある仕事だとは認めるが、エンジニアの中には給料さえ出れば何でも作る人もいる。自分がやらなくても誰かがやるし、時には技術的に挑戦的である点に面白さを感じることもある。結局は管理職や資金を出す上層部、つまりZuckのように金と利益を得る人々に責任を負わせるべきであり、金の流れを追うべきだと強調

    • 米国在住の米国人エンジニアにEUが罰金を科すことが可能なのかという疑問を提起

  • Metaならこういうことをするのも驚きではないと思う。以前、2010年代初頭にはiOS App StoreのHTTPSトラフィックを監視して人気アプリを先回りで把握し、その結果WhatsAppやInstagramの買収を決められた。現状でZuckerbergの賭けは、次のプラットフォーム(AR、VR)が来るまでMetaが生き残ることだと見る。Metaが新しいプラットフォームを支配すれば、もはや合理的な規制を守る必要もなくなり、広告マシンのインターネット触手を好きなだけ伸ばせるという計算。望ましいことではないが、現実的には彼らがやり遂げる可能性は高く見える

    • 企業はAR/VRが次世代プラットフォームになることを強く望んでいるが、一部のゲーム好きは別として、一般大衆が本当にそれを望んでいるのか疑問。映画の3Dメガネ程度の持続力しか示せないのではないかという懐疑

    • 以前のiOSアプリ監視では、ユーザーがエンタープライズ証明書で配布されたVPNを自分でインストールする必要があり、これはApp Storeに載らない方式だった。ユーザーはiOSの恐ろしい警告を何度も通過してインストールしなければならなかったが、ちょっとしたギフトカードを渡すだけでも実際に多くの人が参加した

    • Metaがこうしたことを繰り返せたのは、過去から適切な処罰が累積違反者を止められなかったため

    • MetaのVRプラットフォームQuestは累計で2,000万台ほど売れたが、Facebookのように大規模なユーザー層が必要な企業の視点ではまだ全然足りない数字。Quest 2(1,400万台)のようによく売れた製品も販売終了から9か月が経っている。爆発的成長とは程遠く見える

  • こうしたシステムを実装したエンジニアも、もしかするとHacker Newsにいる自分たちの一人かもしれないという考え。Zuckが直接開発したわけではないだろうと推測

    • ここ(Hacker News)では、エンジニアに自分のしている仕事について倫理的に悩むべきだと言うと、「自分はクールな技術を作りたいだけで、会社がそれをどこに使おうと知ったことではない」という反論をよく受ける。「自分はただのコードモンキーで、管理職がTorment Nexus(拷問装置)を作れと言うなら作るだけだ」というシニカルな態度もある

    • Metaがこういうものを実装するのにAIが必要な理由は、AIは拒否しないからだという冗談

  • 問題は2つあるように見える。第一に、Androidではアプリが別途権限なしでポートを開けること。そしてアプリ同士も別途権限なしで通信できること。第二に、ブラウザが任意のドメインからlocalhostサービスへのアクセスを許していること。過去にもlocalhost上で動く開発者向けサービスにアクセスしたセキュリティ問題があった。何か改善が必要に見える

    • 問題をさらにきっちり分けるなら、第一は任意のアプリが別途権限なしでポートをlistenできること、第二は任意のアプリが別途権限なしでローカルポートにアクセスできること。自分は個人的に、こうした理由からデスクトップでブラウザをネットワーク名前空間に閉じ込めて実験してみた。Webサイトが自分のlocalhostサービスに勝手にアクセスできるべきではないと思う

    • 技術的な問題が2つあるのはその通りだが、それがあってもFacebookがこんなことをしていいわけではないという立場

    • Androidアプリがポートを開くには android.permission.INTERNET 権限が必要。この権限は基本的にインストール時に自動付与され、GrapheneOSのように別途ブロックできる版も存在する。現時点では「内部通信のみ許可」のような細かい制御はサポートされていないと認識している

    • サイトが特別な許可なしにユーザーのローカルネットワークへアクセスできないよう制限する提案もある https://github.com/explainers-by-googlers/local-network-access

  • FacebookまたはInstagramアプリがAndroidスマートフォンにインストールされていて、アカウントにログイン済みで、追跡ピクセルのようなものをブロックする設定をしていない場合、今回の件の影響を受ける可能性がある。VPNやシークレットモードを突破する点が特に深刻な問題に見える。多くの人はこうしたモードで完全なプライバシーが守られると誤解しているが、実際には新しいセッションや別の場所から来たように見せる効果が大きいだけ

    • 一般ユーザーの立場では、VPNとプライベートブラウジングを使えばこの程度で十分だと思って当然。ブラウザが自分のスマートフォン内のアプリと密かに通信し、あらゆる行動を自分のアカウントに結びつけるのはやりすぎ

    • FacebookやInstagramアプリを実際にバックグラウンドで動かしているとき、追跡が悪化する可能性。アプリがバックグラウンドで動くことを極端に嫌うユーザーもいて、使い終わったら必ず終了する方法を選んでいる

  • 実際の問題はWebRTCにあると指摘。WebRTCはデフォルトで無効化されるべきで、少なくとも権限要求ダイアログの裏に隠されるべき。もちろんFacebookはチャットなど一部機能を口実にWebRTCの有効化を要求し、結局99%のユーザーが同意するだろう

  • Metaがわざわざここまでする必要があったのか理解できない。すでにフィンガープリンティングのような追跡技術があるのだから、ここまでリスクを取らなくてもよかったはず。おそらくこの手法は、他の追跡技術がどれほど有効かを測る実験群(テストセット)として使ったり、複数の追跡手法のうち一つが露見したり塞がれたりしたときに、すぐ別の手法へ切り替えるためのものだったのではないかと予想する。こんなにも露骨に見つかりそうな方法を使い続けるのは本当に愚かに見える

    • こうした行動は、その会社がソシオパス的な思考で動いているからだという見方。「やってはいけない」と言われると、それをチャレンジとして受け取り、見つからずにやり遂げようとする傾向

  • 「Meta Pixelスクリプトが _fbp cookie を WebRTC(STUN) SDP Munging を通じてInstagramまたはFacebookネイティブアプリに送信する」という説明が、本当にとんでもないハックだと言及

    • こういう方式がどうやって承認されたのか疑問