BIGLOBEセキュリティニュース

アクセスカウンタ

zoom RSS ソーシャルウェブサービスを利用した新たなプライバシー脅威「Silhouette」

<<   作成日時 : 2018/07/19 14:49   >>

トラックバック 0 / コメント 0

セキュリティ最新ニュース

NTTによるとソーシャルウェブサービスを利用してサービス提供者とは無関係な第三者が来訪した利用者のアカウントを特定する事が可能になる「Silhouette」と言う脅威が存在する事を発表した。

この仕組みは一般的なソーシャルウェブサービス(Twitterなど)で、あるアカウントが別のアカウントに対してブロックと言う閲覧や通知などの拒否の設定が可能なのを利用する。アカウントを特定して何かをしようと企む攻撃者は、ソーシャルウェブサービスにいくつかのアカウントを用意して、特定しようとする相手のアカウントに対して、攻撃者のあるアカウントはブロックの設定をし、攻撃者が持つ別のアカウントではブロックをしないと言う設定にしておく。

その様にしておいて待ち構えたページに両方のアカウントのウィジェットをすぐには分からない様に仕込んで置くと、ブロックしたアカウントとブロックしていないアカウントでは反応速度が異なる事から、訪問者のブラウザがウィジェットのロードの完結にどれだけの時間がかかるかによって特定しようと言うもの。これらを組み合わせる事で限りなく個人の特定が可能になる。

この脅威はブラウザの脆弱性を利用したものではない為、ブラウザを最新版にしても回避は出来ない。回避する為にはソーシャルウェブサービスはどうしても必要となる場面以外では常にログアウトしておく事になる。利用者側としてはこうして回避するしかない。

一方でソーシャルウェブサービスの提供側はその様な応答時間に有意の差を生じない様に改善する事でこの脅威の回避ができる。Twitterは既にその対策がなされたと言う。

実際の攻撃はアカウントを特定されてからになるが、不特定多数のサイトを訪問しただけで特定をされると、攻撃を実際に行われる場面で「××さん、著作権侵害の申告が行われたので反論がある場合は以下のURLから連絡してください」と名指しで指定されて迂闊にデータを入れてしまう可能性などが生まれる。他にもアカウントが特定される事で様々な方法によるフィッシングを仕掛けられるだろう。したがって第三者にアカウントが特定されるのは極力避けるのが望ましい。


関連リンク
ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」について(NTT)(PDF)

テーマ

注目テーマ 一覧


月別リンク

ニュースの更新のお知らせを受け取ろう



ソーシャルウェブサービスを利用した新たなプライバシー脅威「Silhouette」 BIGLOBEセキュリティニュース/BIGLOBEウェブリブログ
文字サイズ:       閉じる