Mozilla、Firefoxから広告測定用のSDKを削除　これで何が変わるのか

2024年9月17日この記事は7分で読めます

MozillaウォッチャーのSören Hentzschel氏は、Android版とiOS版のFirefoxとFirefox Focusブラウザに不気味な変更が加えられていることに気づきました。

広告キャンペーンの効果を追跡するために使用されていたAdjustのSDKが、これらのブラウザの最新ビルド（Firefox 129.0.2 for Android, Firefox 129.2 for iOS）から削除されていることが判明しました。

MozillaのFirefoxブラウザリリースブランチ用Mercurialリポジトリのスクリーンショット

Firefoxブラウザのリリースブランチ用のMozillaのMercurialリポジトリのスクリーンショット。メトリックサービスと関連するトグルスイッチが削除されたことが示されています。リンクはSören Hentzschel氏により提供されています。ソース:MozillaのMercurialリポジトリ

Firefoxをあまり詳しく追いかけていない方は、こう思うかもしれません。そもそも、なぜ広告トラッキングSDKが存在していたのでしょうか? 結局のところ、Mozillaは常にプライバシーの擁護者としての立場を明確にしてきました。では、彼らのブラウザにサードパーティのトラッカーが存在する理由は何なのでしょうか?

公然の秘密

一部の人にとっては驚くべきことかもしれませんが、Mozillaは長年にわたってAdjust SDKをひっそりと使用してきました。2020年、Firefoxのサブレディットにいた好奇心旺盛なRedditorが、この遠隔測定パートナーシップについて回答を求めました。どのようなデータが送信されたのか、それがどのように使用されたのか、Mozillaのプライバシー優先のイメージとどのように一致するのかを疑問視しました。

「プライバシーを売りにしている企業なら、そもそもこのような提携関係を結ぶことはないのではないか? 本当に利害の衝突はないのか?」と、そのRedditorは質問しました。この質問は、多くのユーザーの頭にも浮かんだことでしょう。

Mozillaの当時の回答によると、可能な限りオープンソースのSDKを使用することを好み、通常はデータ収集には自社のGlean遠隔測定SDKを使用しているとのことでした。しかし、彼らは、幅広い国々や通貨にまたがるマーケティングキャンペーンの管理と評価には、より堅牢なソリューションが必要だと主張しました。この目的のために、彼らはAdjustを選択しました。Adjustは、彼らの言葉によると、「唯一のオープンソースベースの製品で、彼らのグローバルなユーザーベースの複雑なマーケティングニーズに対応する要件を満たしていた」からです。

Adjustとは正確には何でしょうか?

このテレメトリー企業について取り上げるのは今回が初めてではありません。ちょうど2年前、私たちはこの企業をトラッカー(複数の人気VPNサーバーに組み込まれている)の1つとして取り上げました。トラッカーとVPN?
残念ながら、これらは時として密接に関連していることもあります。

そこで、当時私たちがAdjustについて調べた結果は次の通りです。

Adjustはadjust GmbHが所有・運営するモバイルアトリビューションおよび分析企業です。「無制限かつ上限なし」という言葉は、当社のデータアクセスを説明する際に頻繁に使用される言葉です。Adjustは、同社のSDKとAPIは、ハッシュ化されたIPアドレス、モバイル識別子、購入や登録を含むアプリ内でのアクション、広告とのユーザーのやり取りに関する情報、タッチセンサーデータ、加速度計、ジャイロスコープ、バッテリー、光センサー、デバイスのハードウェア仕様、オペレーティングシステムのバージョンなどのデータを処理できると述べています。同社は、このデータを個々のユーザーを特定するために拡充することはないと主張しており、また「当社のサービスプロバイダーを除き、公的機関からの合法的な要請に応える場合を除き、」このデータを共有または開示することはないとしています。このデータは、開発者がSDKを使用している限り、Adjustが特に指示しない限り保存されます。

MozillaがAdjustを使用していた目的（Mozilla自身の言葉）

Mozillaは、Android版FirefoxがAdjust SDKを使用してアプリのインストール元を追跡・分析していると述べています。具体的には、特定のマーケティングキャンペーンに応答してユーザーがブラウザをインストールしたかどうかを判断するために使用しています。

そのため、新しいセッションが開始されると、FirefoxはAdjustのサーバーに「セッションメッセージ」を送信し、アプリのバージョン、デバイス情報、言語、国、セッション数などの詳細情報を含めます。

その詳細情報のより具体的な内訳は以下のとおりです。

基本アプリ情報:

アプリケーションID(bundle_id)
アプリのバージョン
デバイスの名称と種類
OSのバージョン

ユーザー情報:

言語
国
デバイス固有の ID(例:idfv)

セッションの詳細:

セッション数
トラッキング設定(トラッキングが有効になっているかどうか)

追加データ:

タイムスタンプ(セッションが開始された日時、メッセージが送信された日時など）
イベントバッファリングが有効になっているかどうか

この情報を調整し、処理し、インストールが特定のキャンペーンに起因する場合は、その帰属の詳細を送り返します。この応答にはキャンペーン識別子とトラッカー情報が含まれますが、Firefoxはこれらの帰属の詳細を利用したり保存したりしないとしています。すべてのデータ転送はHTTPSで保護されており、転送中のデータは暗号化され、傍受や改ざんから保護されます。

なぜ今削除するのか?

MozillaはAdjust SDKの明白な削除を認めていません。AndroidでFirefoxを使用している場合、ブラウザのバージョンが129.0.2(Firefox)または130.0(Firefox Focus)より古い場合、おそらく設定でFirefoxがAdjustと「基本的な利用データ」を共有しているという情報を確認できるでしょう。
ご自身で確認するには、設定 → データ収集 → マーケティングデータ に進んでください。

Android上のFirefoxブラウザの設定

Android上のFirefoxブラウザの設定のスクリーンショット

一方、Mozillaは以前はSDKの使用を擁護していたのに、いったい何が変化したのでしょうか? また、Mozillaはこれに対して一部の反発も受けています。

おそらく、これは非営利団体としては現時点ではコメントしたくない厄介な問題なのでしょう。特に、広告主が広告のパフォーマンスを追跡できるように設計された新しいデータ収集機能を最近採用したことを踏まえると、そのように言えるでしょう。この機能は「プライバシー保護アトリビューション(PPA)」と呼ばれ、ブラウザの最新バージョンではデフォルトで有効になっています。

何であれ、Mozillaはこれまでの明らかな変更について沈黙を保つことを好んでいる。

Adjust SDKの削除は歓迎すべき一歩だが、果たして十分だろうか?

Adjust SDKの削除というMozillaの決定は、ユーザーからさまざまな反応を引き起こしている。一部のユーザーは、この決定を真のプライバシー改善に向けた積極的な措置ではなく、遅きに失した反動的な動きと捉えている。

最近の変更に関するRedditでの議論のスクリーンショット

出典:Reddit

この変更の動機は依然として不明です。あるユーザーが推測したように、Mozillaがデータ収集を自社サーバーに移行するという広範な戦略の一環であり、広告テクノロジー企業としての新たなアイデンティティに沿ったものである可能性もあります。広告テクノロジーの大手企業でありながら、真のプライバシー擁護者であり続けることは本当に可能なのかという永遠の疑問が、今後はMozillaに対してより頻繁に投げかけられることになるでしょう。

また、サードパーティの広告トラッキング SDK を削除することで Mozilla が良いことをしていると推測されているが、それをいくらか否定するような問題もある。その問題とは、プライバシーを隠れ蓑にしたデータ収集の規模について懸念が依然として残っている PPA 機能である。

Firefox の過去1年間の市場シェア