Googleは自社のブラウザであるChromeのバージョン80でSameSite Cookieを有効化する告知を出しています。
既にChrome 80は一般公開されていて、気が付かないうちにアップデートされている方も多いのではないかと思います。
このChrome 80で有効になるSameSite Cookieですが、予告では2020年2月17日から段階的に適用が開始されることになっています。

いきなり全世界全てのChrome利用者に対して一斉適用でないため、SameSite Cookieが有効になっている人とそうでない人がしばらくは混在することになると思われます。

ECサイトに対する影響

SameSite Cookieが有効になることによって、以下のような問題が起きることが予想されています。

  • GoogleやFacebook、AmazonのIDを利用したログイン連携が動作しなくなる
  • クレジットカード決済の3Dセキュア認証や別画面に移動して処理を行う決済サービスが動作しなくなる

ネット広告に影響が出る、という話もありますが、ECサイトとして

  • ログインできない
  • 会員登録ができない
  • 購入できない

といった類の顕著な障害が出ることが予想されています。

Magentoにおける影響

MagentoもSameSite Cookieの影響を受けます。
2020年2月14日現在、Magentoのすべてのバージョンにおいて、SameSite Cookieに対する対応は行われていません。
未対応のまま放置すると、以下のような問題が発生する恐れがあります。

  • Amazon IDでのログインができない
  • 他システムとのID連携が動作しない
  • Amazon Payで購入できない(Amazon ID連携が動作しないため)
  • 3Dセキュア認証を用いるカード決済がエラーになる
  • PayPal Express Checkoutがエラーになる
  • 決済サービスサイトに移動して、Magentoに戻ってくる決済サービスがエラーになる

もちろん、これらの条件に当てはまらないサイトについては特段慌てる必要はありません。
ですが、上記の条件のどれかに当てはまる場合は、適切な対処が必要です。

SameSite Cookieへの対応

Chromeのオープンソース版であるChromiumのサイトには、SameSite Cookieに非対応なブラウザの情報が掲載されています。

SameSite=None: Known Incompatible Clients

iOS12やMacOS10.14のSafariなど、一部のOSバージョンと密接に関連するブラウザが非対応であるとされています。
SameSite Cookie対応を行う場合、これらを意識した対応が必要になります。

Magento2系の対応

暫定対応として、弊社で開発したエクステンションをGithub / packagistで配布しています。

Magento2.2/2.3向けに実装したもので、公式対応が出るまでの暫定版です。
(公式の対応が発表され、お使いのサイトに適用できたあとはアンインストールしてください)

このエクステンションをインストールすると、SameSite=NoneとしてCookieを発行します。
Magento2系はJavaScriptからCookieを発行する部分もありますが、現時点の対応としてはセッションCookieに対してのみSameSite Cookieを設定します。

Magento1系への対応

Magento1系の場合、マイナーバージョンでの実装の相違がかなりあり、統一した対応が難しい状況になっています。
Magento1系で対応が必要な方はお問い合わせください。