Chrome

Chromeには指紋採取対策がない、30手法が今日も稼働中

世界の約65%が使うブラウザには、デバイスの指紋採取をふせぐ仕組みがほとんど存在しない。クッキーを消しても、シークレットモードに入っても、30以上の手法であなたの端末は特定されつづけている。

情報の灯台

2026年4月17日

Googleが6年かけて築き、黙って畳んだもの

プライバシーコンサルタントのアレクサンダー・ハンフ（Alexander Hanff）が2026年4月14日に公開した詳細な技術分析が、じわじわと業界に広がっている。タイトルは「The Beast behind the Browser」。Chromeの内部でいま何が行われているかを、フォレンジック用のリファレンスとして30分の読み物にまとめたものだ。

ハンフの主張はシンプルで容赦がない。Chromeには「現時点で動作しているフィンガープリンティング手法が少なくとも30種類存在する」。しかもそれらは論文の中のアイデアではなく、何百万というウェブサイトで今日この瞬間にも走っている「プロダクションコード」だと書いている。

Chromeにはフィンガープリンティング対策がほぼ実装されていない。もう一度言わせてほしい。世界で最も使われているブラウザであるGoogleのChromeは、ウェブサイトがあなたのデバイス固有のプロファイルを組み立てるのを、実質的に何も止めていない。

この指摘が重いのは、Googleがかつて自分たちで「フィンガープリンティングはユーザーの選択権を奪うものであり、間違っている」と書いていたからだ。2019年に始動したPrivacy Sandboxは、サードパーティクッキーの置き換えと指紋採取の抑制をうたう6年がかりの大型プロジェクトだった。そのPrivacy Sandboxは2025年4月に事実上打ち切られ、フィンガープリンティング固有の緩和策を一つも出荷しないまま幕を閉じた。

さらに言えば、その打ち切りの数ヶ月前、2024年12月にGoogleは公的な姿勢そのものを変えている。「デジタルフィンガープリンティングは間違い」から「開示されているなら問題ない」へ。態度が変わった瞬間に、対策を作る理由もほぼ消えた。

指紋は30種類、どれも今日も有効

ハンフが列挙した手法は、聞き慣れたものから初耳のものまで幅広い。いくつか具体例を挙げる。

Canvasは代表格で、2025年のACM研究では上位2万サイトの 12.7% がこの手法を使っていると報告された。ブラウザに見えない絵を描かせ、そのピクセルのハッシュを取る。OS・GPU・ドライバ・アンチエイリアシングの微妙な差が、ほぼ一意の識別子として出てくる。

WebGLはGPUの素性を吐かせる。WEBGL_debug_renderer_infoという拡張機能を呼ぶだけで「ANGLE (NVIDIA, GeForce RTX 4090 Direct3D11 ...)」のような文字列が返ってくる。FirefoxはすでにこのAPIを非推奨にしているが、Chromeはそのまま提供しつづけている。

AudioContextは音声処理パイプラインの数値誤差を利用する。オシレータをコンプレッサ経由で鳴らし、鳴らないはずのオフライン音声バッファのサンプル3396番を読む。それだけで端末ごとに違う値が返る。

Keyboard APIのようにFirefoxとSafariが「指紋リスクが高すぎる」として実装を拒否しているAPIも、Chromeは無制限に提供している。navigator.keyboard.getLayoutMap()を呼べば、QWERTY、AZERTY、QWERTZ、Dvorak、Colemakのどれを使っているかまで即座に分かる。

そしてCSSメディアクエリだけで構成される指紋も存在する。JavaScriptなしで10ビット以上のエントロピーが取れる。NDSS 2025で発表された論文では、ブラウザリリース922件中702件が@supportsクエリだけで一意に識別できると示された。ブラウザ拡張機能では検出しようがない種類の追跡手法だ。

個別の手法は単独では弱い識別力しか持たない。問題は組み合わさったときの威力だ。10ビットのCSS指紋、5ビットのAudio指紋、GPU文字列、フォントリスト、キーボードレイアウト。これらを束ねれば、クッキーを消してもシークレットモードに入っても、同一人物として追跡できる水準のエントロピーが出る。そして指紋は、ユーザーの側からは消せない。

Canvas、WebGL、WebGPU、Audio、Speech、Font、Navigator、Screen、WebRTC、TLS、emoji、Keyboard、Sensor、Battery、Network Information、Compute Pressure、WebAssembly ── 30種類のうちChromeがまともに軽減しているものはほぼない。一部は数値を丸めたり（センサー）、ハードコードされたデフォルトを返したり（デスクトップのバッテリー情報）しているが、本気の対策はない。

他のブラウザは何をしているのか

ここで比較になる他のブラウザの話だ。ハンフも記事中で明確に区別している。

Braveは「farbling」と呼ばれる手法を実装している。Canvas、WebGL、AudioContextなどの指紋採取APIに、セッション単位でキャリブレーションされたノイズを注入する。サイトが指紋を取ろうとするたびに、わずかに異なる値が返る。追跡者から見れば、同じ人が毎回別人に見える状態だ。

Firefoxはprivacy.resistFingerprintingという設定を持つ。有効にすると、画面解像度・タイムゾーン・言語・フォントリスト・Canvasの出力などが、Tor Browserと同じ「標準化された値」に寄せられる。識別力を最小化するための古典的なアプローチだ。

Chromeの対応状況はこうなる。farblingもなし。resistFingerprintingもなし。Privacy Sandboxはフィンガープリンティング対策を一つも出荷せずに2025年4月に廃止された。合計して「何もない」状態で、世界最大シェアのブラウザが日々稼働している。

フィンガープリンティングが抗しがたく広がった主因として、Googleは「サードパーティクッキーをブロックする動きが、不透明な技術（フィンガープリンティング）を促進した」と公式発表で書いていた。その後Googleは第三者クッキーの廃止計画そのものを撤回し、フィンガープリンティング対策も作らず、両方を放置した。

クッキーは死んでいない、むしろ全盛期だ

ハンフの分析のもう半分は、クッキーとストレージ系追跡に割かれている。合計23種類。こちらも想像以上に動いている。

まずサードパーティクッキー。2024年7月にGoogleは「Chromeからサードパーティクッキーを削除する計画を撤回する」と発表し、2025年4月にその尻拭いも終わらせた。結果としてChromeは、主要ブラウザで唯一サードパーティクッキーをデフォルトで許可したままにしている。SafariもFirefoxも、Braveもとっくに遮断している。

ETag追跡という手法も面白い。HTTPキャッシュの正当性確認用ヘッダを悪用する。サーバがETag: "USER-7a3b9f2c"という「キャッシュ検証文字列に見せかけたユーザーID」を返すと、ブラウザは次のリクエストで自動的にIf-None-Match: "USER-7a3b9f2c"を送り返す。JavaScriptもクッキーも不要で、サーバはユーザーを識別できる。Chrome 86でHTTPキャッシュのパーティショニングが入り、クロスサイトでの悪用は止まったが、ファーストパーティコンテキストでは今もフルに動く。

CNAMEクローキングはさらに手が込んでいる。DNSのCNAMEレコードでtracking.publisher.comをtracker-server.thirdparty.comに向ける。すると追跡リクエストがファーストパーティに見える。サードパーティクッキーブロックも、広告ブロッカーも、プライバシー拡張機能も全部バイパスされる。ChromeはDNS APIを拡張機能に一切公開していないため、FirefoxでuBlock Originがやっているような検出ができない。

普段のブラウジングのなかで、30の指紋採取と23のストレージ系追跡の組み合わせにデバイスが晒されている。「クッキー同意ダイアログを受け入れなかった」状態でも、この大半は止まらない。ハンフが記事の結論で書いている言葉を引く。

ここに記した技術は、理論上のものではない。何十億もの人々に対して、日々、大規模に展開されているものだ。

「やめる」と「開示すれば良い」のあいだ

ハンフのような技術者が苛立つ理由は、Googleの言葉と行動のズレにある。

2019年時点でGoogleはこう書いていた ──「ユーザーは指紋を消せない。ゆえに情報収集をコントロールできない。これはユーザーの選択を覆すものであり、間違っている」。2024年12月、Googleの広告プラットフォームでフィンガープリンティングが正式に許可された。2025年4月、Privacy Sandbox本体が畳まれた。

一貫しているのは「広告事業に支障が出ない範囲で動く」という軸だけだ。その軸を通したとき、世界最大シェアのブラウザからフィンガープリンティング対策が消えた。これが今の到達点だ。

ハンフは記事の最後でもう一歩踏み込む。Manifest V3の拡張機能にデバッガAPIを与えて作れば、30の手法と23のストレージ系追跡のほぼすべてを検出できるリファレンス実装が可能だと、100ページ近くの分量で設計を示している。拡張機能開発者への武器を配った格好だ。Chromeが守らないなら、ユーザー自身が武装するしかない、という前提で書かれている。

諦めに対する答えは、すでに一度出ている。スパイウェア企業を倒産に追い込んだのは、立ち上がった数人のふつうの人々だった。

一つ補足しておきたい。ハンフはChromeの構造的な問題を列挙したが、これは「だからBraveやFirefoxに乗り換えれば安心」という話ではない。TLSフィンガープリンティングのように、ネットワーク層で動く追跡手法はブラウザ拡張機能では原理的に検出できないとハンフ自身も認めている。完全な匿名性は、そもそも現行のウェブアーキテクチャでは達成できない。

それでも、デフォルトで何も守らないブラウザと、デフォルトで何かを守るブラウザのあいだには、実用上大きな差がある。その差を、ユーザーが自分で選ぶ材料はすでに揃っている。

参照元