初めてアクセスしたウェブサイトでは「Cookieの使用に同意しますか?」と聞かれることがよくある。次回からはサインイン手続きが省略されて簡単に入れたり、前に閲覧した内容が示されたりと、何かと便宜をはかってくれるのがCookieだ。Cookieはそれらの情報を先方に教えることなく、自分のデバイス内で管理する仕掛けなので安全とされてきた。ところが、このところCookieの盗難被害が急増している。まったく油断もスキもありゃしない。
Webサイトにアクセスするたびに、いちいちユーザーIDとパスワードの入力を求められるのはウザイと、ウェブブラウザーの開発で知られるプログラマー、ルー・モントゥリは、ユーザーのデバイスにサインイン情報のメモを残すHTTP Cookieというシステムを開発した。アメリカの中華料理屋さんなどで最後に出てくる、割ると中からおみくじが出てくるフォーチュンクッキーのように、ごく短いテキストをデバイスに埋め込むことから「クッキー」と呼ぶようになったそうだ。ユーザーがウェブサイトにアクセスすると、先方がデバイス内に自分が残したクッキーを見て、「こりゃ○○様、毎度お世話になってます」と招き入れてくれるというイメージだ。
Cookieは個人情報だが自分のデバイス内にあるから他人にはわからない……、はずだった。しかし、世界でVPNサービスプロバイダーを展開するNordVPNの調査では、2025年4月23日~4月30日の間に世界で流出したCookieは約940億件、日本だけでも約2億5000万件の流出が確認された。それが闇で売買されているというのだ。
Cookieが盗まれると、まずはフィッシング詐欺などでの個人情報の悪用が考えられる。また、ショッピングサイトに本人になりすまして入る「セッションハイジャック」が可能になり、ヘタをすれば登録してある本人のクレジットカードで買い物をされてしまう。攻撃者は専用のソフトウェアを使って自動的にCookieを抜き出すのだが、ウソのフリーソフトのインストーラーやメール添付のプログラムなどで送り込まれる。もっとも狙われているのは、ユーザー数が多く常時サインインした状態で使うことが多いGoogle、YouTube、Microsoftなどのサイトだ。
ウェブサイトがCookieを残していいかどうかユーザーに尋ねるようになったのは、欧州連合のGDPR(一般データ保護規則)が施行された2018年からのことだ。それまではウェブサイトは勝手に黙ってCookieを残していくのが普通だったから、今思えば厚かましいったらありゃしない。。
