2018年7月18日
日本電信電話株式会社(東京都千代田区、代表取締役社長:澤田純、以下「NTT」)は、ソーシャルウェブサービス(※1、以下「SWS」)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見し、そのリスクを評価する手法を開発しました。新たに発見したプライバシー脅威は、SWSのユーザが悪意のある第三者のウェブサイトに訪問した際に、当該ユーザが所有するSWSのアカウント名が第三者のウェブサイトから特定されうるものであり、プライバシー情報の濫用やオンライン詐欺などのさまざまなサイバー攻撃に悪用される可能性があります。脅威「Silhouette」はNTTが開発した手法で評価が可能で、この評価手法を用いることで本脅威の影響をうける多数のSWSを早期に発見しました。
また、NTTは影響を受けるサービス事業者やブラウザベンダに対し、被害が発生する前に事前の情報共有を行うとともに、Twitterなどの実際のウェブサービスやMicrosoft Edge、Internet Explorer、Mozilla Firefoxといったウェブブラウザの対策実施に対し評価手法を用いて協力することで、本脅威による第三者からのアカウント名特定は不可能となり、より安全に利用者の皆様がご利用いただけるようになりました。
このプライバシー脅威および評価手法の詳細は、2018年4月に英国で開催されたIEEE主催のサイバーセキュリティに関する著名学術会議 EuroS&P 2018 (※2)で発表しました。
近年のインターネットでは、ソーシャルネットワークサービス(SNS)や動画共有サイトなどをはじめとして多種多様なSWSが存在しており、ユーザ一人当たり平均5種類以上のSWSのアカウントを保有しているという調査があります。
SWSのプライバシーの問題としては、SWSへの投稿や登録内容からプライバシーが漏れるというものがありますが、それ以外にSWSを使っているだけで、アクセスした第三者のウェブサイトから誰がアクセスしてきたかのアカウント名が特定されてしまうリスクが知られています。今回我々が新しく発見した脅威はアカウント特定に関するもので、その時点では多くのSWSで対策が施されていないものでした。
今回NTTが発見した脅威は、ユーザの所有するSWSのアカウント名が第三者へ特定されうるというものです。例えば、検索エンジン経由や、一般的なウェブサイトに含まれる広告、メールに含まれるリンクによって、本来SWSと全く関係のない悪意のあるウェブサイトへアクセスしてしまった際に、その悪意のあるサイトはユーザが利用しているであろうSWSへの通信をユーザにはわからないように裏で行い、ユーザのSWSのアカウント名を特定してしまいます。
特定が成立してしまう条件は、パソコンやモバイル端末のウェブブラウザにおいて、本脅威に対して脆弱なSWSへのログイン状態を保持しているユーザが、悪意ある第三者の設置したウェブサイトに訪問するというものです。一般的なSWSでは、ログアウトを明示的に実施する等の操作によってブラウザのCookie(※3)が削除されるまで、自動的にログイン状態を保持する仕組みになっています。したがって、過去に一度でも脅威の対象となるSWSを利用した経験のあるユーザは、特定の対象となってしまうおそれがあります。
NTTでは、この新たな脅威に対してSWSが脆弱であるか評価する手法を確立しました。また、世界的に著名な複数のSWSにおいて実際にアカウント名が特定されうる状態にあることを解明し、SWSの事業者に対して脅威の詳細や対策方法の共有と、対策の有効性を検証する実験協力を行いました。この取り組みを受けて、TwitterなどのSWSが仕様変更によってセキュリティ機構を向上させ、アカウント名特定の脅威を未然に防ぐことができました。さらに、Microsoft Edge、Internet Explorer、Mozilla Firefoxといった主要ブラウザにおいて、本研究や類似手法によって発生しうる脅威を回避するためにCookieのSameSite属性(※4)が追加されました。この貢献は、世界中で利用されている多くのSWSの安全性を大きく向上させただけでなく、今後NTTを含むあらゆる事業者がセキュアなウェブサービスを設計するための高度な機能を活用できるようになったことを意味します。本研究の成果は、短期的・中長期的いずれの視点においても、世界中のユーザがより安全にインターネットを利用できる環境を実現したといえます。
本脅威を成立させるために、SWSに広く採用されている「ユーザブロック」という機能が悪用されます。ユーザブロックは本来、正当なユーザが悪質なユーザに対して自身のページ閲覧可否をコントロールし、ハラスメントやスパム行為から身を守るための機能です。ここで注意しなければならないのは、悪質なユーザもまた正当なユーザに対してページの閲覧可否をコントロールできてしまうという特徴です。事前準備として、悪意ある第三者はSWS内に自らアカウントを作成します(以下、「特定補助アカウント」)。特定補助アカウントを複数用意し、同一サービス上のユーザらを計画的にブロックすることで、さまざまな閲覧可/閲覧不可の組み合わせパターンを構築することができます。このパターンは、ユーザアカウントを一意に識別するための情報として利用されます。
図1:ユーザアカウントを一意に特定するためのブロック/非ブロック設定例
特定実行時、すなわちアカウント名を特定するためのスクリプトが設置されたウェブサイトに訪問したユーザに対しては、それぞれの特定補助アカウントのページへの通信を強制的に送信させます。このときの通信はSame-Origin Policy(※5)によって保護されているため、第三者は応答内容を直接的に取得することはできません。
図2:Same-Origin Policyによる応答内容の保護
しかしながら、閲覧可能時と閲覧不可能時では通信の応答時間には統計的な差異が発生します。悪意ある第三者はこの差異を用いて、訪問ユーザがそれぞれの特定補助アカウントからブロックされているかどうかを推定することができます。推定結果を、あらかじめ構築したパターンと照合することで、当該ユーザのSWSにおけるアカウント名を特定します。
前述した応答時間のような実空間の情報を活用し、センシティブなプライバシーの奪取や暗号解読を試みる攻撃を総称して「サイドチャネル攻撃」といいます。今回、開発したリスク評価手法では、評価対象のSWSにおいて、悪意あるユーザが他のユーザの閲覧可否をコントロールできるか否かをチェックした上で、その閲覧可否をサイドチャネル攻撃によって取得できるか否かをチェックするというアプローチをとります。
SWSが本脅威を対策するためには、Refererなどを確認してリクエストの正当性を検証したり、CookieにSameSite属性を付与する手法などが考えられます。また、本脅威に脆弱なSWSを利用するユーザにおいても、第三者サイトへの訪問時にプライベートブラウジングを利用したり、こまめにログアウトを実施することで、アカウント名の特定を回避することができます。対策手法の詳細につきましては、本脅威の解説ページ(http://www.ntt.co.jp/sc/project/cybersecurity/silhouette.html)をあわせてご覧ください。
NTTはサイバーセキュリティに関する研究開発の一環として、このたび開発したリスク評価手法を含めウェブサービスの新たな脅威を評価する手法の開発を継続的に実施するとともに、問題を発見した際には関係機関とも協力してインターネットの安全性を高めるために取り組んできました。今後もNTTは堅牢なサービスを提供できるよう努め、世の中のウェブサービスやウェブブラウザのセキュア化を推進し、インターネットの安心・安全な利用を促進します。
T. Watanabe, E. Shioji, M. Akiyama, K. Sasaoka, T. Yagi, and T. Mori, "User Blocking Considered Harmful? An Attacker-controllable Side Channel to Identify Social Accounts," Proceedings of the 3rd IEEE European Symposium on Security and Privacy (Euro S&P 2018), April 2018
渡邉卓弥,塩治榮太朗,秋山満昭,笹岡京斗,八木毅,森達哉, "ユーザブロック機能の光と陰: ソーシャルアカウントを特定するサイドチャネルの構成" コンピュータセキュリティシンポジウム2017論文集,2017年10月
※1ソーシャルウェブサービス(SWS)...
ユーザが投稿したコンテンツや、ユーザ同士のコミュニケーションに基づいて形成されるウェブサービス。ソーシャルネットワークサービスや動画共有サイトのほか、ウェブフォーラム、マイクロブログ、オンラインゲーム、オークションサイト等が該当する。
※2Euro S&P...
IEEEが主催するサイバーセキュリティ分野の難関会議 European Symposium on Security and Privacy であり、最先端のセキュリティ対策技術が発表される。
※3Cookie...
ユーザ設定、ログイン、セッション等を管理するために、ウェブサービスが訪問ユーザのウェブブラウザに情報を保存できる機能、あるいは保存された情報を指す。
※4SameSite属性...
Cookieをサーバーに送信するか否かをウェブサービス側が柔軟に制御できるようにすることで、特定条件下におけるログイン状態を一時的に破棄し、ユーザ情報が漏洩しえない状態を担保するオプション。本研究成果の以前には、Google ChromeやOperaといったChromium系ブラウザのみで利用可能であった。
※5Same-Origin Policy...
あるオリジン(ホスト名、ポート番号、スキーム)から異なるオリジンに対して通信が発生する際に、意図しない干渉や取得から情報を保護するためブラウザに搭載されている制約。
本件に関するお問い合わせ先
日本電信電話株式会社
サービスイノベーション総合研究所
企画部広報担当
E-mail:randd-ml@hco.ntt.co.jp
Tel:046-859-2032
ニュースリリースに記載している情報は、発表日時点のものです。
現時点では、発表日時点での情報と異なる場合がありますので、あらかじめご了承いただくとともに、ご注意をお願いいたします。
NTTとともに未来を考えるWEBメディアです。