2015年07月17日
ブラウザのキャッシュから居場所がバレる。最新研究が報告
便利なんだけど…。
シンガポール国立大学の研究チームが、新たな攻撃の可能性を報告しました。「場所推定アタック」と名づけられたこの攻撃、ブラウザのキャッシュから国、市町村、そしてひどい場合には住所まで特定できてしまうものだそうです。
さて、どうやって場所がバレてしまうのでしょう。多くのウェブサイトはよりよいサービスのために位置情報を取得します(ユーザーが許可すれば、ですが)。例えばグーグルだったら、google.comを表示させるのか、それともgoogle.co.jpを表示させるのか、というところで位置情報は使われています。
このような位置情報は、ブラウザのキャッシュに蓄積されていきます。研究チームは、第三者が特別なスクリプトによってキャッシュから位置に関する情報を抜き取れる脆弱性があることを発見しました。利用したウェブサイトに応じてハッカーが取れる情報も違ってきますが、クレイグスリストだったら市町村、グーグルマップだったら住所までわかってしまうと…。
研究チームによると、アレクサ・インターネットが発表しているトップ100ウェブサイトのうち、62%がなんらかの形でキャッシュから位置情報をリークする危険があるそうで、アメリカだけでなく、日本、オーストラリア、シンガポールそしてイギリスのウェブサイトが含まれています。危険性のあるブラウザは、Chrome、Firefox、IE、そしてOperaだそうです。ブラウザのプライベートモードを使えば、キャッシュがセッション終了後に消されるので少しは防げるかもしれませんが、ウェブサイトを使っている間の攻撃からは逃れません。
研究チームは最新バージョンのTorを使うことでこの問題は回避できるとしていますが、Torを使っていない人は、こまめにキャッシュを消すしか方法がないみたいです。こちらのデモ動画で、実際にスクリプトを走らせて、位置情報を抜き取っている様子が見られます。うーん、やっぱり毎日キャッシュを消そうか…。できるかな…。
