FROSTという名称の付けられた新しいサイバー攻撃手法が公開されています。
FROSTは、ブラウザ閲覧中にSSDの微細な処理遅延を測定し、ユーザーの行動を密かに覗き見る攻撃手法です。
この攻撃は巧妙な手口で検知を回避し、従来のセキュリティ対策をすり抜けるリスクを秘めています。
内容を見てみましょう。
- 本手法は、ブラウザの OPFS(Origin Private File System) を悪用し、ユーザーのPC上で発生するSSDアクセスを遠隔から観測する新しいサイドチャネル攻撃 FROST を提案している。
- 従来のSSDタイミング攻撃は、io_uring などのネイティブコード実行環境を必要としていたが、FROSTはJavaScriptのみで実現できる点が大きな特徴である。
- 攻撃者は被害者を悪意あるWebサイトへ誘導するだけでよく、追加の操作や権限付与は不要となっている。サイトを開いたままにしている間、バックグラウンドでSSDの競合状態を継続的に計測できる。
- OPFSは各Webサイト専用の隔離されたファイル領域だが、高速なファイルアクセスが可能であり、その特性が攻撃に利用される。研究者らはOSのページキャッシュを回避する方法を考案し、JavaScriptから高精度なSSDタイミング計測を実現した。
- 収集したSSDアクセスの遅延パターンを機械学習(CNN)で分析することで、ユーザがどのWebサイトを閲覧しているか、どのアプリケーションを起動しているかを推定できる。
- 実験では、macOS環境において上位50サイトのWebサイト識別で F1スコア88.95%、アプリケーション識別で 95.83% を達成した。また、オープンワールド環境でも高い識別性能を示した。
- さらに、SSD競合を利用した covert channel(秘匿通信路)も構築し、Linuxで約662bit/s、macOSで約892bit/sの通信性能を確認した。
- 研究チームはGoogle、Mozilla、Appleへ責任ある開示を行ったが、現時点では大きな対策は導入されていない。
- 本研究は、近年ブラウザに追加された高機能APIが、利便性向上と引き換えに新たなプライバシー・セキュリティリスクを生み出していることを示している。
FROSTは、単なるWebページ閲覧だけで実行可能なSSDベースのサイドチャネル攻撃で、ユーザの閲覧サイトや利用アプリケーションを高精度に推測できることを示した研究です。
従来はネイティブコードの実行が必要だったSSDタイミング攻撃をブラウザ内で実現した点は大きな新規性であり、Webプラットフォームの安全性に新たな課題を提起しています。
特に、ユーザを攻撃用URLへ誘導するだけで攻撃が成立し、ページを開いている間は継続的な観測が可能であることから、従来想定されていた以上に低いハードルでプライバシー侵害につながる可能性がある点が懸念されます。
FROST: Fingerprinting Remotely using OPFS-based SSD Timing
https://hannesweissteiner.com/pdfs/frost.pdf
| この記事をシェア |
|
|---|
