ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

メッセージを送ると「受信側の現在地」を特定できるサイバー攻撃 「届きました」通知を受け取るまでの時間を測定Innovative Tech

» 2023年03月20日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2

 ドイツのResearch Center Trustworthy Data Science and Securityとルール大学ボーフム、オランダのラドバウド大学、米ノースイースタン大学、米ニューヨーク大学に所属する研究者らが発表した論文「Hope of Delivery: Extracting User Locations From Mobile Instant Messengers」は、WhatsAppなどのメッセンジャーアプリにおいて、メッセージを送信することで受信者の位置を特定できる攻撃を提案した研究報告である。

 メッセンジャーアプリでは、送信したメッセージが宛先に届いたかどうかを通知するための配信状況通知機能がある。「送信しました」「相手先に無事届きました」「既読しました」というような、メッセージの現状をチェックマークなどで表示するというものだ。この機能はメッセージが相手先に正しく届いたかどうかを追跡するのに役立つ情報である。

送信者の視点から見たメッセージの流れの概略

 しかし、この研究で示すように、この機能はメッセージ受信者の現在の居場所に関する情報を明らかにするなど、メッセージ受信者の機密情報を知ることができる攻撃としても機能し、位置情報プライバシーに好ましくない害を与える可能性がある。

 具体的には、WhatsApp、Signal、Threemaで一連の実験を行い、メッセージを送信してからメッセージが届いたという通知を受け取るまでの時間を測定することで、異なる受信者とそれぞれの場所をどの程度分類できるかを評価した。

実験の概要

 この攻撃を実験的に検証するためには、メッセンジャーのサーバインフラストラクチャを考慮する必要がある。そのため研究チームは実験を行い、WhatsApp、Signal、Threemaのサーバの地理的分布に関する情報を収集・集計し、使用されているメッセンジャーサーバの配信タイミングの評価結果にどのように影響するかを分析する。

世界中のSignal、Threema、WhatsAppのサーバの場所。Signalは米国東海岸に、Threemaはスイスに、WhatsAppのインスタンスは全大陸に広く分散して配置

 次に、ヨーロッパと中東の複数の場所のデバイス間でメッセージ配信通知の送信タイミングを収集する大規模な測定を実施する。分類器にはConvolutional neural network(CNN)を用い、異なるクラスからの配信通知タイミングのシーケンスでそれらを訓練し、新たに観察されたタイミングシーケンスの予測における精度を測定する。

 実験の結果、訓練段階を経て、メッセンジャーユーザーはメッセージ受信者の異なる場所を区別できるようになることが分かった。また、複数回の測定と評価を行った結果、攻撃は受信地点間の距離に関係なく持続することが分かった。

 この攻撃は、異なる国の受信者でも、1つの都市での小規模な受信でも有効だ。例えば、同じ都市内の3つの場所のうち、送信者は80%以上の精度で正しい場所を決定することができる。このように、メッセンジャーのユーザーはインスタントメッセージを送信する際に、互いの居場所をひそかにスパイできるというわけである。

 研究者らは、メッセンジャーアプリのプロバイダー(Signal、Threema、WhatsApp)と連絡を取り、2022年5月の論文の投稿前に脆弱性を報告した。SignalとWhatsAppは22年10月時点でこの問題を認めていないが、Threemaは対策として、数秒のランダムな配信通知の遅延によってこの脅威を緩和できることを実証した。

Source and Image Credits: Theodor Schnitzler, Katharina Kohls, Evangelos Bitsikas, and Christina Popper. Hope of Delivery: Extracting User Locations From Mobile Instant Messengers



Copyright © ITmedia, Inc. All Rights Reserved.