ページの先頭です。

文字表示

コンテンツエリアはここからです。

研究紹介

第64回 新たなプライバシー脅威「Silhouette」を発見

ソーシャルウェブサービスに対する新たなプライバシー脅威「Silhouette(シルエット)」を発見し、そのリスクを評価する手法についての紹介です。

研究Q&A

  • Q.これはどんな技術なのですか?
  • A.今回発見した脅威は、ユーザの所有するソーシャルウェブサービスのアカウント名が第三者へ特定されうるというものです。この新たな脅威に対してサービスが脆弱であるか評価する手法を確立しました。
  • Q.他の技術とはどこが違っているのでしょうか?
  • A.応答時間の差を用いることで、サービスへのログイン有無や加入コミュニティといった一部のユーザ状態を推定できる脅威については、従来から指摘されていたものの、漏洩し得る情報の重要度は高くなく(例えば、「ログイン状態かどうか」、など)、対処がなされていませんでした。今回の研究では、ユーザブロック機能の悪用によって攻撃者がユーザ状態を意図的に制御できる点に着目し、前述した応答時間の差と組み合わせてソーシャルアカウントという、より重要な情報を特定可能であることを実証しました。 また、異なる手法を用いた類似の研究として、攻撃者がJavaScriptでカスケードスタイルシート(CSS)のプロパティにアクセスし、ユーザのウェブサイト訪問履歴を奪取することでソーシャルアカウントを推定できる脅威が提唱されていますが、主要ブラウザの仕様変更によってCSSプロパティへのアクセスが制限されたため、既に無効化されています。今回の研究は前述の研究と全く異なるアプローチによって、サービスとブラウザの双方に対して新たな対策の必要性を主張するものです。
  • Q.この技術が使われると、どんな役に立つのでしょうか?
  • A.この評価手法を用いることで、ソーシャルサービスが本脅威に脆弱か否かを判断することができます。我々は本技術を用いることで、国際的に非常に多くのユーザーに利用されている多数のサービスにおいて、本脅威の影響を受けることを発見・報告し、対策の促進を行いました。
  • Q.最後にひとことどうぞ。
  • A.今後もサイバーセキュリティに関する研究開発の一環として、このたび開発したリスク評価手法を含めウェブサービスの新たな脅威を評価する手法の開発を継続的に実施すると共に、関係機関とも協力してインターネットの安全性を高めるために取り組んでいきます。

どうもありがとうございました。 詳細についてはNTTホームページのニュースリリースをご覧ください

技術キーワード

  • Silhouette ソーシャルウェブサービス SNS Webセキュリティ プライバシー技術 サイドチャネル攻撃 CSRF

カテゴリーのトップへ戻る

フッタエリアはここからです。