特別レポート:コンピュータサイエンスの専門家たちが、最近導入されたプライバシー保護を回避し、Torブラウザでさえも追跡対象にしてしまうサイドチャネル攻撃手法を実証しました。その結果、あるウェブブラウザのタブに埋め込まれた悪意のあるJavaScriptが、開いている他のタブをスパイし、ユーザーがどのウェブサイトにアクセスしているかを突き止めることが可能になりました。
この情報は、あなたの興味に基づいて広告をターゲットにしたり、あなたが興味を持っているものを把握して将来の参照用として安全に保管したりするために使用されます。
イスラエルのベン=グリオン大学(ネゲブ)、オーストラリアのアデレード大学、米国のプリンストン大学の研究者アナトリー・シュスターマン氏、ラクラン・カン氏、ヤルデン・ハスカル氏、ヨセフ・メルツァー氏、プラテック・ミッタル氏、ヨシ・オレン氏、ユヴァル・ヤロム氏は、訪問したウェブサイトを識別するためのデータを収集するためにJavaScriptを使用するプロセッサキャッシュベースのウェブサイトフィンガープリンティング攻撃を考案した。
この手法は、最近 ArXiv で配布された「キャッシュ占有チャネルを通じた堅牢な Web サイト フィンガープリンティング」という論文で説明されています。
「私たちが実証した攻撃は『人間の秘密』を危険にさらす。ユーザーがどのウェブサイトにアクセスしたかを知ることで、攻撃者はユーザーの性的指向、宗教的信念、政治的意見、健康状態などを知ることができる」と、ベングリオン大学のヨシ・オレン氏とアデレード大学のユヴァル・ヤロム氏は今週、ザ・レジスター紙に宛てた電子メールで述べた。
したがって、任意のコードの実行やカーネルメモリの露出を可能にするリモート攻撃手法ほど深刻ではありませんが、Oren 氏と Yarom 氏は、ブラウザ フィンガープリンティング手法を改造して、暗号化キーや脆弱なインストール済みソフトウェアなどのコンピューティングの秘密を侵害する方法があるかもしれないと推測しています。
あなたはHTTPSが好きです。私たちもHTTPSが好きです。ただし、TLSの欠陥が誰かのウェブプライバシーを侵害する可能性がある場合を除きます
続きを読む
いずれにせよ、この攻撃は、ウェブサイト訪問を秘密にできると信じて Tor を使用している人々にとって深刻な結果をもたらす可能性がある。
サイドチャネル攻撃(または「一時実行攻撃」)は、コンピューティングシステムの一部を監視し、本来は特権情報の推測に使用できる測定値を収集する攻撃です。今年明らかになったSpectre、Meltdown、Foreshadowといった脆弱性は、いずれもサイドチャネル攻撃の手法によって悪用される可能性があります。
オレン氏とヤロム氏は、彼らのアプローチはSpectreよりも根本的なレベルで機能すると説明した。「Spectreが機能しない場所(例えばプロセス境界)でも機能し、Spectre対策として構築されたCPUパッチでは阻止できない」と彼らは述べた。「一方で、Spectre攻撃は私たちの攻撃よりもはるかに高い解像度で情報を復元できる」
これらの攻撃を軽減する方法の一つは、サイドチャネルデータ収集を可能にする高精度タイマーへのアクセスを制限することです。例えば、SpectreとMeltdownの脆弱性が初めて公表された際、MozillaはFirefoxブラウザの時刻ソースを無効化または精度を低下させると発表しました。
しかし、この最新のブラウザ フィンガープリンティング手法は、プロセッサ キャッシュの占有率に重点を置いているため、高精度のタイマーは必要ありません。
「キャッシュ占有率は、一定期間内にキャッシュ全体の何パーセントがアクセスされたかを測定します」とオーレン氏とヤロム氏は説明します。「ブラウザはネットワークから大量のデータを受信し、様々な出力を画面に描画するため、メモリを大量に消費します。つまり、ページを読み込む際にキャッシュのかなりの部分を消費することになります。」
さらに、この攻撃はキャッシュのレイアウトに依存しないため、リスク軽減手法であるキャッシュレイアウトのランダム化は、この特定のアプローチでは役に立ちません。また、ブラウザがネットワークではなくレスポンスキャッシュからデータを取得する場合や、ネットワークトラフィックシェーピングが使用されている場合など、ネットワークベースのフィンガープリンティングに対する防御策も、この攻撃の影響を受けません。
自動識別
このフィンガープリンティング攻撃では、ウェブサイトの読み込み時にJavaScriptを使用してプロセッサのキャッシュアクセスのレイテンシを経時的に測定します。これらの「メモリグラム」は、ディープラーニング技術を用いて攻撃者が収集したメモリグラムと比較され、類似点を自動的に特定することでウェブサイトへのアクセスを確定します。つまり、ブラウザがウェブページを取得して画面にレンダリングする際にプロセッサのCPUキャッシュにアクセスする方法から、ユーザーが閲覧しているウェブサイトを特定することが可能になります。あるタブに悪意のあるJavaScriptを配置することで、キャッシュアクセスを監視してパターンを特定し、他のタブがアクセスしたサイトのフィンガープリンティングを行うことができます。
「『古典的な』機械学習技術では、データ内のどの『特徴』が攻撃に関連しているかを人間の専門家が見つけ出す必要があります」とオーレン氏とヤロム氏は説明します。「他の種類の攻撃を行う際に最適な特徴については、多くの研究が行われています。一方、ディープラーニングでは、コンピューターが専門家の役割を果たし、自らこれらの特徴を見つけようとします。これにより、データから直接結果を導き出すことができます。おそらく人間の研究者は、私たちのディープラーニングアルゴリズムよりも優れた特徴を見つけ出し、攻撃をさらに改善できるでしょう。」
研究者たちは、2 つのシナリオを検討しました。1 つは、100 の Web サイトごとに 100 のメモリグラムを評価するクローズド ワールド データ セット、もう 1 つは、100 の機密 Web ページを 5,000 の他の Web サイトと区別する必要があるオープン ワールド データ セットです。
ブラウザだけではない:マシンも簡単に指紋認証される
続きを読む
研究者たちは、クローズドセット上で主流のブラウザを使用し、ウェブサイト訪問の70~90%を正確に分類することができました。Torに適用した場合、この攻撃の精度はわずか47%でしたが、他のデータを考慮すると精度は72%に向上しました。オープンワールドデータセットでも結果は同様で、70~90%でした。研究者たちが上位の出力だけでなく、検出された結果の上位5つに含まれているかどうかも確認した場合、Torの識別率は83%でした。
アクセスしたウェブサイトが機密情報であるか否かを単純に判断することが目的であれば、オープンワールドデータセットでは精度が 99 パーセント以上に向上します。
オレン氏とヤロム氏は、彼らの研究は、精密タイミングへのアクセスを減らすことでサイドチャネル攻撃を防御する取り組みが無駄だったことを示していると述べている。
「今回の研究では、このアプローチ全体が無意味であることを示しています。攻撃には高解像度のタイマーは必要ないのです」と研究者らは述べています。「同様に、Spectreからの保護方法の中には、サイトを複数のプロセスに分離するものもあります。しかし、私たちはこれでは不十分であることを示しています。あるブラウザタブから別のブラウザタブへ、さらにはあるブラウザからコンピュータ上で実行されている他のブラウザへさえもスパイできることを示しました。」
彼らの主張する結論は、ブラウザのタブを常に1つしか開いていない状態はプライバシーリスクとなるということです。2つ目のタブを開くと、そのタブ内のJavaScriptがもう一方のタブを覗き見ることができるのです。JavaScriptを完全に無効化すれば攻撃は阻止できますが、JavaScriptの機能に依存している多くのウェブサイトも機能しなくなります。また、仮想化はセキュリティ機能ではなく利便性向上のための機能として捉えるべきだと主張しています。
「機密性の高いウェブサイトとそうでないウェブサイトに同時にアクセスしたい場合は、2 台の異なるコンピューターを使用してください」と彼らは述べています。®
