ワカリタイムズ

🌍 海外ニュースを「わかりやすく」

Metaの「裏口トラッキング」技術が一時停止 ─ 利用者のプライバシー、どこまで守られる?

technology プライバシー テクノロジー SNS 個人情報保護 セキュリティ

スマホFacebookInstagramを何気なく利用している私たち。その裏側で、自分のウェブ閲覧履歴までアプリ開発元に筒抜けになっていたら…あなたはどう感じますか?今回はSNS大手Meta(FacebookInstagram運営会社)が、Androidスマートフォン上で秘密裏に利用者データを収集していた実態が専門家の指摘で明らかになり、機能停止に追い込まれたという衝撃的なニュースをお伝えします。

このニュースは欧米ITメディアのMeta pauses mobile port tracking tech on Android after researchers cry foulから引用しています。ウェブ解析ツールMeta Pixelを使い、「ローカルホスト」という仕組みを利用して通常のセキュリティ対策をすり抜け、利用者のウェブ行動とSNSアカウントをひも付けていたというのです。なぜそれが問題なのか、どんな技術が使われていたのか、日本の私たちに与える影響とともに、わかりやすく解説します。

Metaが行っていた「ローカルホスト」を活用した追跡の仕組み

そもそも「Meta Pixel」とは?

Meta Pixel(メタ・ピクセル)は、ウェブサイト運営者向けの分析ツールで、訪問者の行動データ(どのページを見たか、何をクリックしたかなど)をMeta社に送信し、広告の効果測定やターゲティングなどに活用できる仕組みです。日本でも多くのECサイトやメディアが導入しています。

「ローカルホスト」とは?

ローカルホストとは、スマホやPCなど自分の端末の中だけで通信を行う特殊なネットワークのアドレス(通常は「127.0.0.1」)です。たとえば「スマホのウェブブラウザ」と「スマホ内のアプリ」が“自分の端末の中だけ”でデータをやり取りするために利用されます。本来は開発やテスト目的が主な使い道でした。

何が問題視されたのか?

Metaはこのローカルホストの仕組みを悪用しました。FacebookInstagramなどのネイティブアプリを、バックグラウンド(見えないところ)で「ローカルホストの特定ポート」に接続待ち状態にし、

  • スマホのブラウザでMeta Pixelが埋め込まれたサイトを開くと、
  • ウェブサイト上のJavaScriptがローカルホスト経由でアプリ(例:Facebookアプリ)に情報(クッキーや端末情報)を送り、
  • アプリは利用者のアカウントやAndroid広告IDとその情報をひも付けてMetaのサーバーへ送信

という流れで、通常なら遮断されるはずの「ウェブでの行動履歴」と「アプリの個人情報」が裏口的にひも付けられていました。

利用された技術(専門用語をかみ砕いて解説)

  • WebRTC・STUN/TURN・SDPマングリング:WebRTCは、リアルタイムに音声や映像のやりとりを可能にする通信技術です。ここでMetaはSession Description Protocol(SDP)を操作(これを「マングリング」と呼びます)し、ローカルホストのアプリとデータをやり取りしていました。
  • クッキー(_fbpなど):ウェブの識別子で、本来ならサイトごとに管理されるはずですが、今回の手法だと複数サイトをまたいでFacebookアカウントに紐付けが可能になりました。
  • Android広告IDAndroid端末1台ごとに割り当てられる広告用の一意のIDです。

セキュリティ対策をかいくぐる“裏口ルート”

この手法を使うと、

  • Cookieの削除やシークレットモード(プライバシーモード)が無効化される
  • Androidアプリの権限設定もすり抜けられる
  • ユーザーが想像しない形でSNSアカウントや広告IDと結びつけられる

という“抜け穴”が生じます。これは利用者が「ウェブ閲覧履歴をSNSアカウントと結び付けない」という大前提を破るもので、大きな問題です。

専門家たちの調査と対応

この手法はスペイン・オランダ・ベルギーの研究者グループが発見し、2024年9月以降、Metaが徐々にこの技術(主にHTTP経由、WebRTC経由など)を運用していたことを突き止めました。実際に2025年6月3日14時45分(日本時間)時点で「Meta Pixelのローカルホスト送信コードがほぼ完全に削除」されたことが報告されています。

Googleもこの件について調査を開始。Google Playストアのポリシーではユーザーの明示的同意なしのデータ収集は禁止されており、Metaは暫定的にこの機能を停止し、Googleと政策面の協議を進めています。

また、ChromeFirefoxなどの主要ブラウザもこの脆弱性対策(ローカルホストやSDPマングリングによるデータ送信ブロック強化)を急いでいます。DuckDuckGoなどの一部ブラウザでは、既にこの抜け道を防止する施策が導入済です。

ロシア大手ヤンデックスも同様の手法を活用

ロシアIT大手Yandex(ヤンデックス)も2017年から同様の方法でユーザー追跡を行っていたことが明らかとなり、世界的な“裏口追跡”の実態が徐々に浮き彫りになっています。

日本での影響・今後に求められる対応

日本の利用者・企業への影響

  • 日本でもMeta Pixelを設置している企業サイトは多数存在します。今回の件で日本人利用者のプライバシーも影響を受けていたと考えられます。
  • 個人情報保護法(改正個人情報保護法)で第三者提供時の同意取得が求められますが、この手口はユーザーに気付かれずに行われていました。
  • ブラウザやアプリの設定だけでは安心できない状況です。企業サイトも透明性の確保と十分な説明責任が求められる時代になっています。

日本の法律や政策への示唆

  • 今回の手口は、日本のプライバシー規制でも抜け穴になりうるものです。実質的にユーザーの合理的な期待を大きく裏切る行為と言えます。
  • 「ローカルネットワークアクセス権限」のような新たな許可制度の導入が急がれます。
  • ユーザー側も、今後はサイトやアプリのプライバシー説明・ブラウザの更新・設定確認が重要になります。

今後の展望・私たちにできること

日本でもメディアや企業が類似事例をチェックし、透明性や同意取得の徹底が求められます。また、GoogleAppleなど端末・OSレベルで「ローカル通信の監視」や「明示的同意の強化」など、新たなテクノロジー対策の普及が期待されます。

消費者としては――

  • 安易なアプリ・ブラウザの権限許可を見直す
  • 定期的なブラウザ・アプリのアップデートを行う
  • プライバシーポリシーの内容にも注意を払う

といった、日常にできる工夫も大切です。

データ追跡技術とプライバシー保護の未来

今回のMetaによるローカルホスト追跡手法の問題は、「誰がどこまで私たちのデータを見るのか」「どこまで同意を取るべきか」をめぐる最新テクノロジーと社会的規範とのせめぎ合いを象徴しています。技術の進化とともに“抜け穴”は巧妙化しますが、ユーザーのプライバシー保護や説明責任も高める必要があります。

【主なポイントまとめ】 - MetaがAndroidでウェブ履歴とSNSアカウントを密かにひも付け→専門家の指摘で機能停止 - 新たな利用者対策・法整備や技術的アップデートが今後の鍵 - 日本でも無関係ではない問題。私たちもサイト利用や権限設定に十分注意を

今後はGoogleApple、各国機関によるルール整備の動きや、MetaやYandexなどの大手IT企業の対応策、日本国内のプライバシー保護の方向性にも注目していきましょう。