https://www3.nhk.or.jp/news/html/20180718/k10011538051000.html
SNSにログインした状態のまま、不正なプログラムが仕込まれたウェブサイトを閲覧すると、個人のアカウントが特定されるおそれがあることが、NTTの研究でわかりました。
【外部リンク】
http://www.ntt.co.jp/news2018/1807/180718a.html
ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見
~Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善~
日本電信電話株式会社(東京都千代田区、代表取締役社長:澤田純、以下「NTT」)は、ソーシャルウェブサービス(※1、以下「SWS」)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見し、そのリスクを評価する手法を開発しました。新たに発見したプライバシー脅威は、SWSのユーザが悪意のある第三者のウェブサイトに訪問した際に、当該ユーザが所有するSWSのアカウント名が第三者のウェブサイトから特定されうるものであり、プライバシー情報の濫用やオンライン詐欺などのさまざまなサイバー攻撃に悪用される可能性があります。脅威「Silhouette」はNTTが開発した手法で評価が可能で、この評価手法を用いることで本脅威の影響をうける多数のSWSを早期に発見しました。
【外部リンク】
http://www.ntt.co.jp/sc/project/cybersecurity/silhouette.html
ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」について
我々の研究グループは、ソーシャルウェブサービス(SWS)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見しました。
【外部リンク】
http://www.ntt.co.jp/sc/project/cybersecurity/silhouette_detail_jp.pdf
ソーシャルウェブサービスにおける新たなプライバシー脅威
「Silhouette」について
NTT は、ソーシャルウェブサービスに対する新たなプライバシー脅威「Silhouette (シル
エット)」を発見しました。本稿では、この脅威の概要および原理と対策手法について解説
します。
【外部リンク】
https://blogs.windows.com/msedgedev/2018/05/17/samesite-cookies-microsoft-edge-internet-explorer/
Previewing support for same-site cookies in Microsoft Edge
【外部リンク】
https://blog.mozilla.org/security/2018/04/24/same-site-cookies-in-firefox-60/
Supporting Same-Site Cookies in Firefox 60
【外部リンク】
https://www.ieee-security.org/TC/EuroSP2018/program.php
User Blocking Considered Harmful? An Attacker-controllable Side Channel to Identify Social Accounts
Takuya Watanabe (NTT Secure Platform Laboratories), Eitaro Shioji (NTT Secure Platform Laboratories), Mitsuaki Akiyama (NTT Secure Platform Laboratories), Keito Sasaoka (Waseda University), Takeshi Yagi (NTT Secure Platform Laboratories), Tatsuya Mori (Waseda University)
This paper presents a practical side-channel attack that identifies the social web service account of a visitor to an attacker’s website. Our attack leverages the widely adopted user-blocking mechanism, abusing its inherent property that certain pages return different web content depending on whether a user is blocked from another user. Our key insight is that an account prepared by an attacker can hold an attacker-controllable binary state of blocking/non-blocking with respect to an arbitrary user on the same service; provided that the user is logged in to the service, this state can be retrieved as one-bit data through the conventional cross-site timing attack when a user visits the attacker’s website. We generalize and refer to such a property as visibility control, which we consider as the fundamental assumption of our attack. Building on this primitive, we show that an attacker with a set of controlled accounts can gain a complete and flexible control over the data leaked through the side channel. Using this mechanism, we show that it is possible to design and implement a robust, large-scale user identification attack on a wide variety of social web services. To verify the feasibility of our attack, we perform an extensive empirical study using 16 popular social web services and demonstrate that at least 12 of these are vulnerable to our attack. Vulnerable services include not only popular social networking sites such as Twitter and Facebook, but also other types of web services that provide social features, e.g., eBay and Xbox Live. We also demonstrate that the attack can achieve nearly 100% accuracy and can finish within a sufficiently short time in a practical setting. We discuss the fundamental principles, practical aspects, and limitations of the attack as well as possible defenses.
【外部リンク】
https://ipsj.ixsq.nii.ac.jp/ej/?action=pages_view_main&active_action=repository_view_main_item_detail&item_id=187295&item_no=1&page_id=13&block_id=8
ユーザブロック機能の光と陰:ソーシャルアカウントを特定するサイドチャネルの構成
著者所属 NTTセキュアプラットフォーム研究所
NTTセキュアプラットフォーム研究所
NTTセキュアプラットフォーム研究所
早稲田大学
NTTセキュアプラットフォーム研究所
早稲田大学
著者名 渡邉 卓弥
塩治 榮太朗
秋山 満昭
笹岡 京斗
八木 毅
森 達哉