ユーザーがウェブサイトを閲覧した時に、ウェブサイトがPCやスマートフォンに保存させる情報をCookieといい、ユーザーの識別子として利用されます。
サードパーティーCookieはプライバシーへの懸念から、近年はSafariやFirefoxではブロックされており、またユーザーがCookieの利用について選択できるウェブサイトも増えてきました。
しかし、企業はより効果的な広告を出すためにユーザーを識別し、その行動や興味・関心を特定したいため、Cookie以外のものを識別子として利用することがあります。この時、Cookieを使わずともユーザーを識別できる識別子を「スーパーCookie」と呼びます。通常のCookieはすでにユーザーが管理する方法がありますが、スーパーCookieはユーザーが検知しにくく、取り除くのも難しいという特徴を持ちます。
スーパーCookieという単語が話題になりだしたのは2015年。当時は比較的新しいセキュリティ機構だった「HTTP Strict Transport Security」を利用した「HSTSスーパーCookie」という手法が発表されました。HSTSスーパーCookieはブラウザのプライバシーモードを回避してユーザーの行動を追跡可能でした。
HSTSスーパークッキーについては、以下から詳細を読むことが可能です。また、大手携帯キャリアのVerizon(ベライゾン)は2012年からユーザーに公表することなくスーパーCookieを利用していたとして、罰金を命じられました。この時、Verizonは「UIDH」というコードを用いて顧客を識別しました。
さらに、2021年2月にはブラウザのFavicon(ファビコン)をスーパーCookieとして使用する手法が発表されました。
このように、スーパーCookieは特定の方法を指す言葉ではなく、「通常のCookieのような役割を果たしつつも、ユーザーが検知しにくく、取り除くのも難しい」という特徴を備えたものを意味します。