41 0 0 0 OA ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成
- 著者
- 渡邉 卓弥 塩治 榮太朗 秋山 満昭 笹岡 京斗 八木 毅 森 達哉
- 雑誌
- コンピュータセキュリティシンポジウム2017論文集
- 巻号頁・発行日
- vol.2017, no.2, 2017-10-16
本研究はウェブサイトに訪問したユーザのソーシャルアカウントを特定するサイドチャネル攻撃を実証する.特定経路を構成するのは,様々なサービスに実装されているユーザブロック機能である.準備段階では,候補となるソーシャルアカウント群に対しブロックと非ブロックのマッピングを行う.実行段階では,訪問者にタイミング攻撃を仕掛けブロック状態を推定する.推定結果とマッピングを照合することで訪問者とアカウントを紐付けることができる.著名な16のサービスにおいて攻撃が成立することを検証し,100%近い精度で特定に成功した.本稿は,ウェブサービスのソーシャル性に起因する新たな問題を提起し,その原理と対策を論じる.
言及状況
はてなブックマーク (20 users, 20 posts)
[Saved For Later]
[security][sns]
[ネット]
[security]
[あとで読む]
[secu]
[セキュリティ]
“推定結果とマッピングを照合することで訪問者とアカウントを紐付けることができる.著名な16のサービスにおいて攻撃が成立することを検証し,100%近い精度で特定に成功”
ブロック/非ブロック状態でSNSのユーザページのレスポンスの違いをもとに、閲覧者のIDをシグナルアカウントがブロックしているかどうかを判別し、シグナルアカウントを複数用意することで閲覧者のIDを特定する攻撃手法
Twitter (21 users, 24 posts, 24 favorites)
「Twitter のアカウント A と B が実は同一人物」どころではなく、「XVideos のアカウント X と、Facebook のアカウント Y が同一人物」と特定できてしまう手法が2017年頃から世の中にございます。ご注意されたし。
https://t.co/KJ2RaO5v51 https://t.co/XXkFhebxwx
天才か?
https://t.co/9KiJAnDpTg
ブロック機能は外側から自分の行った選択が観測できるので使っていないのだけど、例え自分が使っていなくても、攻撃者がアカウント特定に使えるという話が書かれていて面白いなあとなった。
ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成
https://t.co/Wp6vgEGcu8
[ソーシャルアカウント特定研究の論文]
英語 (EuroS&P2018)
https://t.co/L820GOBlCh
日本語 (CSS2017,最優秀論文賞)
https://t.co/4464852AsG
アカウント特定に至る 仕組み が面白かった。 /
ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成
https://t.co/HSD8KedIdh
https://t.co/dUd3qSYvrH
ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成/すごい https://t.co/toKeDH4AL6
一見RTTに差が無いように見えるtwitterに対して、プロフィールページにわざと大量の文字列やリンクを置いて差をつける、ってくだりに「天才かよ…」ってなった / 情報学広場:情報処理学会電子図書館 - https://t.co/7ZdsUPA9Yh
2件のコメント https://t.co/RO13tzeehm “情報学広場:情報処理学会電子図書館 ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成” https://t.co/d393LTFn1V
2件のコメント https://t.co/RO13tzeehm “情報学広場:情報処理学会電子図書館 ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成” https://t.co/d393LTFn1V
2件のコメント https://t.co/TdPv7oi7c3 “情報学広場:情報処理学会電子図書館 ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成” https://t.co/V8PVmVdq9Y
2件のコメント https://t.co/TdPv7oi7c3 “情報学広場:情報処理学会電子図書館 ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成” https://t.co/V8PVmVdq9Y
情報学広場:情報処理学会電子図書館 ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成 https://t.co/Qz1G1Kc6f1
なるほど
- "ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成"
https://t.co/1tKEAlewdg
“推定結果とマッピングを照合することで訪問者とアカウントを紐付けることができる.著名な16のサービスにおいて攻撃が成立することを検証し,100%近い精度で特定に成功” / “情報学広場:情報処理学会電子図書館 ユーザブロック機能…” https://t.co/VlhqE04n2U
渡邉 et al. 2017、"ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成"、現実世界での実証に成功していて興奮する。誤り訂正の技術が攻撃(この場合はあしあと機能の実現)の正確化に使えるんだなあ。
https://t.co/82FyVY1orf
収集済み URL リスト
- http://b.hatena.ne.jp/entry/s/ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&page_id=13&block_id=8&item_id=187295&item_no=1 (2)
- https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=187295&item_no=1&page_id=13&block_id=8 (8)
- https://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=187295&item_no=1&attribute_id=1&file_no=1 (1)
- https://ipsj.ixsq.nii.ac.jp/ej/index.php?action=pages_view_main&active_action=repository_action_common_download&item_id=187295&item_no=1&attribute_id=1&file_no=1&page_id=13&block_id=8 (2)
- https://ipsj.ixsq.nii.ac.jp/ej/index.php?active_action=repository_view_main_item_detail&page_id=13&block_id=8&item_id=187295&item_no=1 (30)