https://forbesjapan.com/articles/detail/79618
 初めてアクセスしたウェブサイトでは「Cookieの使用に同意しますか?」と聞かれることがよくある。
次回からはサインイン手続きが省略されて簡単に入れたり、前に閲覧した内容が示されたりと、何かと便宜をはかってくれるのがCookieだ。
Cookieはそれらの情報を先方に教えることなく、自分のデバイス内で管理する仕掛けなので安全とされてきた。
ところが、このところCookieの盗難被害が急増している。まったく油断もスキもありゃしない。

Webサイトにアクセスするたびに、いちいちユーザーIDとパスワードの入力を求められるのはウザイと、
ウェブブラウザーの開発で知られるプログラマー、ルー・モントゥリは、ユーザーのデバイスにサインイン情報のメモを残すHTTP Cookieというシステムを開発した。
アメリカの中華料理屋さんなどで最後に出てくる、割ると中からおみくじが出てくるフォーチュンクッキーのように、
ごく短いテキストをデバイスに埋め込むことから「クッキー」と呼ぶようになったそうだ。
ユーザーがウェブサイトにアクセスすると、先方がデバイス内に自分が残したクッキーを見て、「こりゃ○○様、毎度お世話になってます」と招き入れてくれるというイメージだ。

Cookieは個人情報だが自分のデバイス内にあるから他人にはわからない……、はずだった。
しかし、世界でVPNサービスプロバイダーを展開するNordVPNの調査では、2025年4月23日〜4月30日の間に世界で流出したCookieは約940億件、
日本だけでも約2億5000万件の流出が確認された。それが闇で売買されているというのだ。

Cookieが盗まれると、まずはフィッシング詐欺などでの個人情報の悪用が考えられる。
また、ショッピングサイトに本人になりすまして入る「セッションハイジャック」が可能になり、ヘタをすれば登録してある本人のクレジットカードで買い物をされてしまう。
攻撃者は専用のソフトウェアを使って自動的にCookieを抜き出すのだが、ウソのフリーソフトのインストーラーやメール添付のプログラムなどで送り込まれる。
もっとも狙われているのは、ユーザー数が多く常時サインインした状態で使うことが多いGoogle、YouTube、Microsoftなどのサイトだ。
ウェブサイトがCookieを残していいかどうかユーザーに尋ねるようになったのは、欧州連合のGDPR(一般データ保護規則)が施行された2018年からのことだ。
それまではウェブサイトは勝手に黙ってCookieを残していくのが普通だったから、今思えば厚かましいったらありゃしない。。

さて、もうCookieも安全ではないとわかれば対策を講じる必要がある。
NordVPNのサイバーセキュリティ専門家、アドリアヌス・ワーメンホーフェン氏は、次の4つの対策を提唱している。

※続きはソースで