2018年12月17日(月)

プレスリリース

企業名|産業
NTT情報・通信

NTT、ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見

2018/7/18 15:40
保存
共有
印刷
その他

発表日:2018年7月18日

ソーシャルウェブサービスにおける新たなプライバシー脅威「Silhouette」を発見

~Twitter、Microsoft、Mozillaらに働きかけ、世界の主要サービス・ブラウザのセキュリティ機構を改善~

日本電信電話株式会社(東京都千代田区、代表取締役社長:澤田純、以下「NTT」)は、ソーシャルウェブサービス(※1、以下「SWS」)に対する新たなプライバシー脅威「Silhouette(シルエット)」を発見し、そのリスクを評価する手法を開発しました。新たに発見したプライバシー脅威は、SWSのユーザが悪意のある第三者のウェブサイトに訪問した際に、当該ユーザが所有するSWSのアカウント名が第三者のウェブサイトから特定されうるものであり、プライバシー情報の濫用やオンライン詐欺などのさまざまなサイバー攻撃に悪用される可能性があります。脅威「Silhouette」はNTTが開発した手法で評価が可能で、この評価手法を用いることで本脅威の影響をうける多数のSWSを早期に発見しました。

また、NTTは影響を受けるサービス事業者やブラウザベンダに対し、被害が発生する前に事前の情報共有を行うとともに、Twitterなどの実際のウェブサービスやMicrosoft Edge、Internet Explorer、Mozilla Firefoxといったウェブブラウザの対策実施に対し評価手法を用いて協力することで、本脅威による第三者からのアカウント名特定は不可能となり、より安全に利用者の皆様がご利用いただけるようになりました。

このプライバシー脅威および評価手法の詳細は、2018年4月に英国で開催されたIEEE主催のサイバーセキュリティに関する著名学術会議 EuroS&P 2018 (※2)で発表しました。

1.背景・経緯

近年のインターネットでは、ソーシャルネットワークサービス(SNS)や動画共有サイトなどをはじめとして多種多様なSWSが存在しており、ユーザ一人当たり平均5種類以上のSWSのアカウントを保有しているという調査があります。

SWSのプライバシーの問題としては、SWSへの投稿や登録内容からプライバシーが漏れるというものがありますが、それ以外にSWSを使っているだけで、アクセスした第三者のウェブサイトから誰がアクセスしてきたかのアカウント名が特定されてしまうリスクが知られています。今回我々が新しく発見した脅威はアカウント特定に関するもので、その時点では多くのSWSで対策が施されていないものでした。

2.成果の概要

今回NTTが発見した脅威は、ユーザの所有するSWSのアカウント名が第三者へ特定されうるというものです。例えば、検索エンジン経由や、一般的なウェブサイトに含まれる広告、メールに含まれるリンクによって、本来SWSと全く関係のない悪意のあるウェブサイトへアクセスしてしまった際に、その悪意のあるサイトはユーザが利用しているであろうSWSへの通信をユーザにはわからないように裏で行い、ユーザのSWSのアカウント名を特定してしまいます。

特定が成立してしまう条件は、パソコンやモバイル端末のウェブブラウザにおいて、本脅威に対して脆弱なSWSへのログイン状態を保持しているユーザが、悪意ある第三者の設置したウェブサイトに訪問するというものです。一般的なSWSでは、ログアウトを明示的に実施する等の操作によってブラウザのCookie(※3)が削除されるまで、自動的にログイン状態を保持する仕組みになっています。したがって、過去に一度でも脅威の対象となるSWSを利用した経験のあるユーザは、特定の対象となってしまうおそれがあります。

NTTでは、この新たな脅威に対してSWSが脆弱であるか評価する手法を確立しました。また、世界的に著名な複数のSWSにおいて実際にアカウント名が特定されうる状態にあることを解明し、SWSの事業者に対して脅威の詳細や対策方法の共有と、対策の有効性を検証する実験協力を行いました。この取り組みを受けて、TwitterなどのSWSが仕様変更によってセキュリティ機構を向上させ、アカウント名特定の脅威を未然に防ぐことができました。さらに、Microsoft Edge、Internet Explorer、Mozilla Firefoxといった主要ブラウザにおいて、本研究や類似手法によって発生しうる脅威を回避するためにCookieのSameSite属性(※4)が追加されました。この貢献は、世界中で利用されている多くのSWSの安全性を大きく向上させただけでなく、今後NTTを含むあらゆる事業者がセキュアなウェブサービスを設計するための高度な機能を活用できるようになったことを意味します。本研究の成果は、短期的・中長期的いずれの視点においても、世界中のユーザがより安全にインターネットを利用できる環境を実現したといえます。

*以下は添付リリースを参照

ニュースリリースに記載している情報は、発表日時点のものです。現時点では、発表日時点での情報と異なる場合がありますので、あらかじめご了承いただくとともに、ご注意をお願いいたします。

リリース本文中の「関連資料」は、こちらのURLからご覧ください。

添付リリース

http://release.nikkei.co.jp/attach_file/0485543_01.pdf

保存
共有
印刷
その他

電子版トップ速報トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報