この記事を読んでCNAME Cloakingというものを知ったので整理
CNAMEレコード
正規ホスト名に対する別名を定義するレコード
特定のホスト名を別のドメイン名に転送する時などに利用する
CNAME Cloaking
インターネット広告会社などがユーザをトラッキングするためにCNAMEを利用してサードパーティCookieをファーストパーティCookieのようにWebサイト側にみせる手法
すでにいくつかの広告会社は、CNAME Closkingを行うためにサブドメインを「委任」(delegation)するようクライアントに依頼している
問題はこれが悪用されないかということ
例えば、Webサイトがすべてのサブドメイン(* .website.comなど)にアクセスできるようにCookieを設定している場合、Cookieはクローキングされたサードパーティのトラッカーにも自動的に送信される
これらのCookieの1つは認証Cookieである可能性があり、このCookieを所有しているユーザーはだれでもユーザーになりすまし、個人情報にアクセスできてしまう可能性がある
CNAME Cloakingの問題の本質
CNAME Cloakingの問題の本質は、サードパーティのCookieをファーストパーティのCookieに偽装することではなく、それ以上の情報、例えばIPアドレス、オペレーティングシステムのバージョン、ブラウザのバージョンなどのプロパティをフィンガープリントとして利用し、広告会社がより詳細な個人情報を取得できてしまうかもしれないということ
記事ではさらに、Facebookなどのデータと連携してユーザのプロファイリングをさらに強化する可能性もあると述べている
広告会社に言われた通りに、さも当然のようにCNAMEに設定せず、設定するにしても注意を払って監視べきだということがわかった
※参考
Web trackers using CNAME Cloaking to bypass browsers’ ad blockers | The Daily Swig