[SIGMOD-J 79] The Web Conference 2022 国際会議報告: Security セッション

Transcript

1. The Web Conference 2022 国際会議報告
   Security セッション
   筑波⼤学 加藤研究室
   新⽥洸平
   2022年6⽉25⽇
   第42回先端的データベースとWeb技術動向講演会
   ACM SIGMOD ⽇本⽀部第79回⽀部⼤会
   @武蔵野⼤学有明キャンパス
   ※スライド中に論⽂中の図を引⽤
   

   View Slide

2. 新⽥ 洸平（しんでん こうへい）
   筑波⼤学⼤学院 博⼠前期１年
   https://sites.google.com/view/kohei-shinden
   ⾃⼰紹介 2
   研究領域：情報検索，情報推薦
   直近では検索・推薦のパーソナライゼーションとプライバシーに興味
   SNS ユーザの特徴を明らかにする研究 ⼤規模⾔語モデルを⽤いたウェブ⽂書検索の研究
   DEIM2021 NTCIR-15
   

   View Slide

3. セキュリティやプライバシーに関連する論⽂を紹介
   本⽇紹介する研究 3
   1. 世界各国の政府が運⽤するサイトや
   アプリのセキュリティについて調査[1]
   2. アドブロックを回避するような
   広告ドメインを検出する⼿法[2]
   [1] Samarasinghe et al., Et tu, Brute? Privacy Analysis of
   Government Websites and Mobile Apps, WWW 2022.
   [2] Lin et al., Investigating Advertisersʼ Domain-changing Behaviors
   and Their Impacts on Ad-blocker Filter Lists, WWW 2022.
   Security, Privacy, and Trust: 発表件数 25 件
   （このうち 2 件を紹介）
   トラッキング
   サイトやアプリ
   の送受信
   ユーザ 世界各国の
   政府系サービス
   IT 企業
   広告主
   アド
   ブロッカー
   回避 ユーザ
   回避を検出
   トラッキングを調査
   ユーザは広告をブロック
   

   View Slide

4. Et tu, Brute? Privacy Analysis of Government
   Websites and Mobile Apps
   Track: Security, Privacy, and Trust
   Privacy & Anonymization
   4
   Nayanamana Samarasinghe, Aashish Adhikari, Mohammad Mannan, Amr Youssef
   Concordia University(Canada)
   

   View Slide

5. 世界各国の政府が運⽤するサイトやアプリの
   プライバシー・セキュリティについての調査
   • 政府のサービスによって商⽤トラッカーが世界中の
   ⼈々のデータを収集可能であることがわかった
   どんな研究？
   調査対象 調査結果の抜粋
   Web サイト
   150,244 (206カ国)
   Android アプリ
   1,166 (71カ国)
   Google によるトラッキング
   17% 37%
   機密情報を第三者や攻撃者に漏洩
   23.1%
   サイト アプリ
   アプリ
   5
   

   View Slide

6. • 商⽤サイトやアプリケーションでは収益のためにトラッキングが
   盛んに⾏われる
   • トラッキングしたデータはユーザのプロファイル作成やサイトの
   効果測定などに利⽤
   背景：商⽤サイトやアプリにおけるトラッキング 6
   ユーザは不本意ながら
   利⽤規約に同意
   無料でサービスを提供する代わりに
   さまざまな情報をトラッキング
   Google, Facebookなど
   ユーザ
   ユーザデータ
   サービス
   Cookiebot の表⽰例
   出典: https://www.cookiebot.jp/
   

   View Slide

7. • ポピュラーなサイトのトラッキングに関する研究や
   各国ごとのサイトのセキュリティに関する研究は⾏われている
   既存研究と課題 7
   世界全体の政府のサイトやアプリについては調査されておらず
   政府サービスのトラッキングに関するグローバルな視点は⽋如
   課題
   研究内容 サイトタイプ 対象地域
   ポピュラーなサイトの
   トラッキングに関する研究
   商⽤ 世界全体 [3, 4] etc.
   トラッキングの同意
   に関する研究
   商⽤ 世界全体 [5]
   各国政府系サイトの
   セキュリティに関する研究
   政府 各国 [6, 7]
   [3] Englehardt and Narayanan, 2016. Online tracking: A 1-million-site
   measurement and analysis. CCS 2016.
   [4] Sanchez-Rola et al., Journey to the Center of the Cookie Ecosystem:
   Unraveling Actorsʼ Roles and Relationships. IEEE SP 2021.
   [5] Papadogiannakis et al., User Tracking in the Post-cookie Era: How
   Websites Bypass GDPR Consent to Track Users. WWW 2021.
   [6] Csontos and Heckl. Accessibility, usability, and security evaluation of
   Hungarian government websites. UAIS 2020.
   [7] Office of the auditor general western Australia. Local Government
   General Computer Controls. 2021. (https://audit.wa.gov.au/wp-
   content/uploads/2021/05/Report-23_LocalGovernment-General-Computer-
   Controls.pdf).
   

   View Slide

8. • 世界各国の政府が運⽤するサイトやアプリのプライバシー・
   セキュリティの現状を明らかにすること
   ⽬的 8
   調査対象 調査⽅法
   Web サイト
   150,244 (206カ国)
   Android アプリ
   1,166 (71カ国)
   1. 政府サイトとアプリを収集
   2. 政府サイトにおけるトラッカーを測定
   3. 悪質な政府及び
   トラッカードメインを特定
   4. 政府系 Android アプリを解析
   例：⽇本における政府系
   Android アプリ
   COCOA マイナポイント
   

   View Slide

9. 結果：政府系サイトのセキュリティ分析 1/2 9
   • 政府系サイトの 29.9% に 1 つ以上のトラッカー
   最も多いのは YouTube
   上位 10 件のトラッカー
   出典：｢令和２年版情報通信⽩書｣, 総務省,
   https://www.soumu.go.jp/johotsusintokei/whitepaper/
   例：情報通信⽩書のサイトにおけるトラッキング
   上位は Google 関連の
   トラッキング
   

   View Slide

10. • トラッカーによって設定された Cookie がさまざまな有効期間を
    持っていることがわかった
    →セッション後に失効しない Cookie は攻撃の機会を増やす
    • VirusTotal[8] によって 0.2% の政府系サイトが疑わしい
    もしくは悪意のあるものとしてフラグ付け
    結果：政府系サイトのセキュリティ分析 2/2 10
    サイト/アプリに悪意あるコンテンツ が含まれている
    可能性を判断するシステム
    [8]https://www.virustotal.com/
    • 1ヶ⽉以内に有効期限が切れる設定： 11.5%
    • 9999 年後に有効期限が切れる設定： 13%
    YouTube Cookie の結果
    

    View Slide

11. • 1166 のアプリに合計 1647 のトラッキング SDK が存在
    • 2.57% の政府系アプリが Firebase データベースの
    設定ミスによって個⼈情報を公開（FireBaseScanner[9] を利⽤）
    • HTTP 経由でログイン情報を平⽂送信しているアプリも存在
    ‒ バングラデシュ，ブラジル，インド，マレーシア，
    ナイジェリア，パレスチナ，アラブ⾸⻑国連邦の７カ国のアプリ
    結果：政府系 Android アプリのセキュリティ分析 11
    [9]https://github.com/shivsahni/FireBaseScanner
    政府系サイト/アプリ Firebase
    データベース
    FireBaseScanner
    設定ミスをしている場合
    収集可能
    データの送受信
    ユーザ識別⼦，パスワード，メールアドレス
    電話番号などが含まれるかをチェック
    →その後速やかに削除
    

    View Slide

12. • 漏洩に関する調査結果を 11 の政府系アプリ開発者に開⽰
    →数ヶ⽉後に1件の回答があったのみ（何度かフォローアップ）
    • 悪意のあるサイトと判定された 8 の政府系サイトに開⽰
    →何の回答も得られなかった
    • 悪意のあるアプリと判定された 38 の政府系アプリに開⽰
    →1つの開発者からのみ連絡があった
    各国政府に対する調査結果の開⽰ 12
    各国の対応は不誠実であることがわかる
    

    View Slide

13. • トラッキングによって政府にはメリットがある⼀⽅で
    ユーザをトラッキングにさらすことは情報漏洩等の危険性
    • 19.8% のアプリが政府以外のメールアドレスを持つ開発者に
    よって作成されていることが判明
    →情報漏洩の危険性は⾼まる
    • 政府サイト/アプリは税⾦での運⽤であるにも関わらず
    政府によって世界中の⼈々のデータを IT 企業が収集可能な状態に
    政府による商⽤トラッキングの利⽤に対する考察 13
    少なくとも⾃国の法律に準拠するために政府のサイトや
    アプリのトラッキングやセキュリティを定期的に確認する必要がある
    

    View Slide

14. 世界各国の政府が運⽤するサイトやアプリの
    プライバシー・セキュリティについての調査
    • 政府のサービスによって商⽤トラッカーが世界中の
    ⼈々のデータを収集可能であることがわかった
    まとめ
    調査対象 調査結果の抜粋
    Web サイト
    150,244 (206カ国)
    Android アプリ
    1,166 (71カ国)
    Google によるトラッキング
    17% 37%
    機密情報を第三者や攻撃者に漏洩
    23.1%
    サイト アプリ
    アプリ
    14
    

    View Slide

15. Investigating Advertisersʼ Domain-changing
    Behaviors and Their Impacts on Ad-blocker Filter Lists
    Track: Security, Privacy, and Trust
    Measurement & Survey
    15
    Su-Chin Lin1, Kai-Hsiang Chou1, Yen Chen1, Hsu-Chun Hsiao1, Darion Cassel2, Lujo Bauer2, Limin Jia2
    1 National Taiwan University(Taiwan), 2 Carnegie Mellon University(US)
    

    View Slide

16. アドブロッカーのフィルタリストを回避するために
    広告主が新規に作成した広告ドメインを検出する⼿法の研究
    • 回避するような広告ドメインのドメイン変更パターンを発⾒
    • アドブロックの回避が広告ブロックのプライバシー保護に
    悪影響を及ぼすことを明らかにした
    どんな研究？
    ブロックを回避することで延びる
    広告ドメインの寿命
    平均 784.7 ⽇
    プライバシー侵害をする
    広告ドメインの割合
    23.7%
    

    View Slide

17. • アドブロッカーはフィルタリストを利⽤することで
    広告とトラッカーを識別・ブロックするツール
    背景：アドブロッカー 17
    Q: なぜブロックするのか？
    1. ユーザの体験向上 ：不要な情報の削減，読み込み時間の短縮
    2. プライバシーの保護：デバイス識別⼦の秘匿，トラッキングのブロック
    ユーザ
    ウェブサイト
    アドブロッカー
    複数のフィルタリスト
    表⽰
    サイトの内容
    広告ドメイン
    既知の広告ドメインを
    カバーするルールのリスト
    広告ブロック後の
    ウェブサイト
    広告は表⽰されない
    doubleclick.com
    広告主
    

    View Slide

18. • 別ドメインを⽣成することでフィルタリストによる識別を回避
    背景：広告主によるブロックの回避 18
    ユーザ
    ウェブサイト
    アドブロッカー
    複数のフィルタリスト
    表⽰
    サイトの内容
    広告ドメインA
    広告ブロック後の
    ウェブサイト
    ブロックしても回避して
    広告が表⽰される
    広告ドメインB
    doubleclick2.com
    doubleclick.com
    広告主
    レプリカ広告ドメイン (RAD ドメイン) の⽣成
    ドメイン⽣成アルゴリズムを使⽤して新しいRADドメインを作成
    ドメイン変更によって⽣成された RAD ドメインは広告ブロックの
    フィルタリストのルールをすり抜けることがよくある
    

    View Slide

19. • RADドメインの影響について体系的に調査した既存研究がない
    • RADドメインの普及率とプライバシーへの影響を知りたい
    • RADドメインを分析することでフィルタリスト管理者が
    ドメイン変更に対応するのに役⽴つ可能性がある
    モチベーション 19
    RADドメインが与えるアドブロックの効果や
    プライバシーへの悪影響は調査されていない
    

    View Slide

20. 広告主によるドメイン変更が
    広告ブロックのフィルタリストに与える影響の理解
    • RQ1: 広告主によるドメイン変更の⼀般的なパターンはあるか？
    →RADドメインが４パターンあることを発⾒
    • RQ2: RADドメインの普及率とフィルタリングに登録されるまでの⽣存期間
    はどの程度か？
    →RADドメインは広告ドメインの期間を 784.7 ⽇間延⻑できる
    • RQ3: RADドメインのうちプライバシー侵害⾏為を⾏うものはどれくらいあ
    るのか？
    →プライバシー侵害を⾏う RADドメインは 23.7％
    ⽬的 20
    

    View Slide

21. • 既存の広告ドメインではない RAD ドメインを所有者や
    広告ドメインの特徴から検出
    ドメイン検出⼿法のアイデア 21
    検出⽅法のアイデア
    ドメイン A, B は所有者が同じで構成や内容が似ている可能性が⾼い
    広告ドメインA 広告ドメインB
    doubleclick2.com
    doubleclick.com
    

    View Slide

22. • 所有者や広告ドメインの構成や内容などの特徴から RAD ドメイ
    ンに該当する可能性の⾼いドメインを特定
    • 誤検出の可能性があるため最後は⼈による判断
    ドメイン検出⼿法の詳細 22
    1. DNS レコード
    2. TLS 証明書
    所有者同定
    1. URL パス
    2. ファイル群
    サイトの類似性判定
    誤検出の可能性
    への対応
    ⼈による判断
    広告ドメインA
    広告ドメインB
    doubleclick2.com
    doubleclick.com
    doubleclick2.com
    RAD か否か
    

    View Slide

23. ４つの変更パターンがあることを発⾒
    • 1. ファーストパーティサブドメインへの移動
    ‒ RAD ドメイン 17.7% (309/1,748) がそのファーストパーティのサブドメイン
    実験結果：RAD ドメインのパターン 1/3 23
    第三者広告ドメイン
    tracking.keywee.co
    ウェブサイト
    compass.com
    サイトのサブドメイン
    dynamic-js.compass.com
    ウェブサイト
    compass.com
    広告の委任 RAD ドメイン
    ウェブサイト分析プロバイダによるドメイン回避のチュートリアルが存在
    ファーストパーティのサブドメインを使⽤して広告を委譲する⽅法を説明
    第三者ドメインに悪意がある場合ブロックできず危険
    ドメインが移動
    

    View Slide

24. ４つの変更パターンがあることを発⾒
    • 2. リボルビングドメイン（RADドメイン）の使⽤
    ‒ 15 の広告主から 222 のリボルビングドメインが発⾒
    ‒ 294 のファーストパーティに影響
    実験結果：RAD ドメインのパターン 2/3 24
    LuckyAds
    36ドメイン
    qakdki.com
    inpiza.com
    ⁝
    リボルビングドメイン作成の例
    これらは CNAME レコードが共通
    luckylb.com
    luckyads.tech
    広告主
    

    View Slide

25. ４つの変更パターンがあることを発⾒
    • 3. サブドメインの変更
    ‒ 関連する広告ドメインと親ドメインを共有
    ‒ 親ドメイン: adsame1.cnr.cn → RADドメイン: ggdata1.cnr.cn
    ‒ ドメインルールが追加されるまではブロックできない
    • 4. CDNドメインの使⽤
    ‒ 5 つは Azure CDN (.azureedge.net)
    ‒ 160 は Amazon CloudFront CDN (.cloudfront.net)
    実験結果：RAD ドメインのパターン 3/3 25
    

    View Slide

26. • ブロックされていない RAD ドメイン（回避するドメイン）の
    平均追加⽣存期間は 784.7 ⽇
    ‒ ブロックされた RAD ドメインでは平均⽣存⽇数は424.2⽇
    実験結果：RAD ドメインの⽣存時間 26
    • Blocked, Non-blocked の違いは
    フィルタリストによる⾃動検知
    ドメイン⽣成することで広告主はドメ
    インを変更し続けることができる
    →個々のドメインが短命であっても全
    体の⽣存時間が⼤幅に増加することが
    ある
    

    View Slide

27. アドブロッカーのフィルタリストを回避するために
    広告主が新規に作成した広告ドメインを検出する⼿法の研究
    • 回避するような広告ドメインのドメイン変更パターンを発⾒
    • アドブロックの回避が広告ブロックのプライバシー保護に
    悪影響を及ぼすことを明らかにした
    どんな研究？
    ブロックを回避することで延びる
    広告ドメインの寿命
    平均 784.7 ⽇
    プライバシー侵害をする
    広告ドメインの割合
    23.7%
    

    View Slide

28. 本⽇のまとめ
    28
    

    View Slide

29. 本⽇紹介した研究 29
    セキュリティやプライバシーに関連する論⽂を紹介
    1. 世界各国の政府が運⽤するサイトや
    アプリのセキュリティについて調査
    2. アドブロッカーのフィルタリストを
    回避する広告ドメインの検出する⼿法
    トラッキング
    サイトやアプリ
    の送受信
    ユーザ 世界各国の
    政府系サービス
    IT 企業
    広告主
    フィルタ
    リスト
    回避 ユーザ
    回避を検出
    トラッキングを調査
    ユーザは広告をブロック
    

    View Slide