パスワードを忘れた? アカウント作成
13652283 story
セキュリティ

新たなSNSアカウント特定手法「Silhouette」 27

ストーリー by hylom
現実的にどこまで問題となるか 部門より
take-ash曰く、

NTTは新たなSNSアカウント特定手法「Silhouette」を発見し、そのリスクを評価する手法を開発したと発表した(ニュースリリース技術解説NHKニュース)。

あるアカウントが別のアカウントをブロックしているか/していないかでSNSサイトからの応答時間が異なることを利用する。攻撃者は予めSNSサイトに複数のアカウント特定補助用アカウントを作成しておく。被攻撃者がアカウント特定スクリプトが仕込まれたサイトを訪問すると、SNSサイトのアカウント特定補助用アカウント群への応答時間が測定される。被攻撃者のブロック状況によって応答時間のパターンが異なることから攻撃者が被攻撃者のアカウントを特定可能である。

ユーザ側の対策としてはこまめにログアウトすることを推奨している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ダミーの処理かウェイトでも入れて、対象者と非対称者で応答時間をなるべく等しくするくらいしか思いつかんなぁ。

    • by Anonymous Coward

      全ての応答にrandom wait入れようぜ
      もうどっちがどっちだか判別不可能だ

  • by Anonymous Coward on 2018年07月20日 20時58分 (#3446458)

    あれを有効化するとTwitterやFacebookの埋め込みコンテンツもブロックされるんだけど、そこまでする意味があるのかなと思ってました。
    意味あったんですね。

    # LINE共有ボタンが消えないんだけどどこに依頼すれば良いんだろう。

    • by Anonymous Coward

      追跡防止って DNT のことかと思ったら、ブロックリストを使った方式もあったんですね。

      > # LINE共有ボタンが消えないんだけどどこに依頼すれば良いんだろう。
      ドキュメントによると disconnect.me のブロックリストを使っているとのことなので、そちらに報告すれば変わるかも。

      報告はここかな?
      https://disconnect.me/trackerprotection#feedback [disconnect.me]
      github にリストがあるようなので、そっちにプルリクでも行けるかも。

      # 個人的には uBlock Origin と uMatrix で相当防いでるので関係ないはず

      • by Anonymous Coward

        ありがとうございます。
        簡単な報告フォームだったので早速送信してきました。

        uBlock Originを併用していれば問題ないのはその通りなのですが、できればブラウザの内蔵機能だけで対処できた方が良いかなと。
        検証等で広告ブロッカー無しのFirefoxを使う事もあるのでLINE共有ボタンだけ残るのが気になっていまして。

      • by Anonymous Coward

        firefoxって単純にドメイン違うだけで全拒否する動作も持ってたような。
        ブロックリストよりもよっぽどヒステリックな挙動だけどまぁ安全は安全かな……正常に動かんケースも増えそうだが。

        # プライベートタブだとデフォ有効で、togetter開いてもtwitterの画像一切見えなくなってビビった…

  • by Anonymous Coward on 2018年07月20日 16時57分 (#3446323)

    それはまぎれもなくヤツさ

  • by Anonymous Coward on 2018年07月20日 17時10分 (#3446338)

    この攻撃方法でわかるのは、攻撃者が用意したアカウントからブロックされているかいないか。なのでアカウントを10個とか用意して同時攻撃すれば、2^10=1024人を識別できる。

    実用的には数百万人を識別しないといけないので、アカウントは20個ほど必要。この場合は、それぞれの攻撃用アカウントは識別対象の半数、約50万人をブロックしておかないといけない。ここを潰しておけば、ある程度の被害は防げる。

    ただ、小数を対象としたターゲット攻撃には対抗できないが。

    • by Anonymous Coward

      理屈は全く持ってその通りですが、この場合、ターゲット攻撃ってどうやれば可能ですかね。

      SNS(SWS)のアカウントと、攻撃サイトへアクセスした人とを紐付けられる攻撃といえますが、その際に、サイトに訪れる人のアカウント候補をある程度の小数に絞れるシチュエーションが余り思いつきません。

      • by Anonymous Coward

        SNSをターゲットにするならある特定の話題に食い付きやすいのも分かるだろうから、それで対象をざっくり絞り混んで、
        対象が好む話題を出して一見して問題ないページに誘導して、を繰り返せば特定できないかな?

  • by Anonymous Coward on 2018年07月20日 17時17分 (#3446345)

    Chrome使用時、Google+とかいうSNSからログアウトできないのですが。
    皆さんどうしてるんだろう。

    • 一旦、設定からプライバシー情報全消しとか?
      あとはGoogle Chromeはプロファイルを分けられるから、GoogleアカウントやSNSで使う専用のプロファイルを作って使い分ける、その他のサイトにアクセスするときは別のプロファイルのChromeやシークレットモード使うとか。

      親コメント
    • by Anonymous Coward

      誰もブロックしなければいい。
      この攻撃は攻撃者のアカウントをブロックしているか否かで判別してる。誰もブロックしていない人は特定できないから攻撃は成立しない

      • by Anonymous Coward on 2018年07月20日 17時50分 (#3446365)

        技術資料からリンクされているPDFファイルを見るとわかりますが、逆ですよ。
        攻撃者が、適当なアカウントを大量に作って、それらのユーザから、分析したいユーザ群に対してブロックします。
        被攻撃者が攻撃者のアカウントをブロックしているかどうかは関係ありません。

        なので、対策が「こまめにログアウト」となっているわけです。

        親コメント
    • by Anonymous Coward

      Chromiumを使えばいいのでは

    • by Anonymous Coward

      サードパーティドメイン弾けば
      ついでに広告やウイルスも消えて
      良い事尽くめでしょうに

      繋がりは必要に応じて許可すればいい

      どうしたらノーガードで安心できますか? なんて聞かれても
      生暖かい目で見守ってあげるくらいしかできませんですはい

      • by Anonymous Coward

        やっぱり、それぐらいしかないですか。
        自動ログインだけ無効にできればよいのに。

    • by Anonymous Coward

      > 皆さんどうしてるんだろう。

      Googleアカウントを作らず、したがってログインせずに使う。

    • by Anonymous Coward

      グーグルのシングルサインオンなのでグーグルのサービスからログアウトすれば済むはず

    • by Anonymous Coward

      0.0.0.0 plus.google.com
      0.0.0.0 plus.googleapis.com
      どうぞ

    • by Anonymous Coward

      3rd pt cookieブロックで防げる

  • by Anonymous Coward on 2018年07月20日 19時39分 (#3446417)

    みたいな

    本当に必要な技術なの?

    • by Anonymous Coward

      こんなにめんどうなことやるなら、普通にHTML上のユーザ名の要素をJavascriptかなにかで持ってくるだけじゃダメなの?

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...