「アダルトサイトにアクセスしましたね。秘密にしますから送金してください」と個人名を宛先にしたメールが届く……。NTTの研究チームが、SNSなどソーシャルサービスの「ブロック機能」を悪用する新手のアカウント名奪取方法を発見した。「Silhouette(シルエット)」と名付けられたこの新しい脅威は、SNSで名前が特定されかねないアカウント名を利用しているユーザーは特に注意したいところ。一体どんな攻撃なのだろうか。
Cookieを使ってログイン認証を行うソーシャルWebサービス(Twitterなど)のユーザーを狙い、通信内容ではなくレスポンスの時間差からアカウント名を特定する新手の攻撃手法。NTTが2018年4月に「IEEE European Symposium on Security and Privacy 2018」(EuroS&P 2018)で発表した(論文はこちら)。
「Silhouette」はNTTセキュアプラットフォーム研究所のチームによって発見された攻撃手法だ。同チームは攻撃者側の視点からシステムの脆弱(ぜいじゃく)性調査などの研究活動を行っており、これまでに数々の脆弱性を発見し、対策に結び付けてきた。
「Silhouette」発見はその成果の1つ。まだ現実の被害例はないが、攻撃用にしつらえたWebサイトにアクセスした個人のソーシャルサービスのアカウント名が特定されるリスクがあることが分かっている。
「アカウント名なんて最初からバレバレでしょ? 流出して何か問題あるの?」と甘く考えてはいけない。例えばアダルトサイトに不正スクリプトを仕込むと、あなたがそのサイトにアクセスした数秒後には、SNSなどのアカウント名が攻撃者側に知られることになる。
「◯月◯日◯時◯分に××サイトにアクセスしましたね?」とSNSにダイレクトメッセージが届き、「SNSであなたの行動をさらしますよ」「さらされたくなければ暗号通貨を振込みなさい」などと要求するかもしれない。
また、パスワードリスト攻撃が横行していることでも分かる、すでに漏えいしているID/パスワード情報は多数ある。SNSアカウント名およびそれから推定される個人名などと流出した情報を突き合わせれば、あなたが利用している他のサービスへの不正ログインも不可能ではない。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。