The Web Conference 2022 国際会議報告 Security セッション 筑波⼤学 加藤研究室 新⽥洸平 2022年6⽉25⽇ 第42回先端的データベースとWeb技術動向講演会 ACM SIGMOD ⽇本⽀部第79回⽀部⼤会 @武蔵野⼤学有明キャンパス ※スライド中に論⽂中の図を引⽤

新⽥ 洸平（しんでん こうへい） 筑波⼤学⼤学院 博⼠前期１年 https://sites.google.com/view/kohei-shinden ⾃⼰紹介 2 研究領域：情報検索，情報推薦 直近では検索・推薦のパーソナライゼーションとプライバシーに興味 SNS ユーザの特徴を明らかにする研究 ⼤規模⾔語モデルを⽤いたウェブ⽂書検索の研究 DEIM2021 NTCIR-15

セキュリティやプライバシーに関連する論⽂を紹介 本⽇紹介する研究 3 1. 世界各国の政府が運⽤するサイトや アプリのセキュリティについて調査[1] 2. アドブロックを回避するような 広告ドメインを検出する⼿法[2] [1] Samarasinghe et al., Et tu, Brute? Privacy Analysis of Government Websites and Mobile Apps, WWW 2022. [2] Lin et al., Investigating Advertisersʼ Domain-changing Behaviors and Their Impacts on Ad-blocker Filter Lists, WWW 2022. Security, Privacy, and Trust: 発表件数 25 件 （このうち 2 件を紹介） トラッキング サイトやアプリ の送受信 ユーザ 世界各国の 政府系サービス IT 企業 広告主 アド ブロッカー 回避 ユーザ 回避を検出 トラッキングを調査 ユーザは広告をブロック

Et tu, Brute? Privacy Analysis of Government Websites and Mobile Apps Track: Security, Privacy, and Trust Privacy & Anonymization 4 Nayanamana Samarasinghe, Aashish Adhikari, Mohammad Mannan, Amr Youssef Concordia University(Canada)

世界各国の政府が運⽤するサイトやアプリの プライバシー・セキュリティについての調査 • 政府のサービスによって商⽤トラッカーが世界中の ⼈々のデータを収集可能であることがわかった どんな研究？ 調査対象 調査結果の抜粋 Web サイト 150,244 (206カ国) Android アプリ 1,166 (71カ国) Google によるトラッキング 17% 37% 機密情報を第三者や攻撃者に漏洩 23.1% サイト アプリ アプリ 5

• 商⽤サイトやアプリケーションでは収益のためにトラッキングが 盛んに⾏われる • トラッキングしたデータはユーザのプロファイル作成やサイトの 効果測定などに利⽤ 背景：商⽤サイトやアプリにおけるトラッキング 6 ユーザは不本意ながら 利⽤規約に同意 無料でサービスを提供する代わりに さまざまな情報をトラッキング Google, Facebookなど ユーザ ユーザデータ サービス Cookiebot の表⽰例 出典: https://www.cookiebot.jp/

• ポピュラーなサイトのトラッキングに関する研究や 各国ごとのサイトのセキュリティに関する研究は⾏われている 既存研究と課題 7 世界全体の政府のサイトやアプリについては調査されておらず 政府サービスのトラッキングに関するグローバルな視点は⽋如 課題 研究内容 サイトタイプ 対象地域 ポピュラーなサイトの トラッキングに関する研究 商⽤ 世界全体 [3, 4] etc. トラッキングの同意 に関する研究 商⽤ 世界全体 [5] 各国政府系サイトの セキュリティに関する研究 政府 各国 [6, 7] [3] Englehardt and Narayanan, 2016. Online tracking: A 1-million-site measurement and analysis. CCS 2016. [4] Sanchez-Rola et al., Journey to the Center of the Cookie Ecosystem: Unraveling Actorsʼ Roles and Relationships. IEEE SP 2021. [5] Papadogiannakis et al., User Tracking in the Post-cookie Era: How Websites Bypass GDPR Consent to Track Users. WWW 2021. [6] Csontos and Heckl. Accessibility, usability, and security evaluation of Hungarian government websites. UAIS 2020. [7] Office of the auditor general western Australia. Local Government General Computer Controls. 2021. (https://audit.wa.gov.au/wp- content/uploads/2021/05/Report-23_LocalGovernment-General-Computer- Controls.pdf).

• 世界各国の政府が運⽤するサイトやアプリのプライバシー・ セキュリティの現状を明らかにすること ⽬的 8 調査対象 調査⽅法 Web サイト 150,244 (206カ国) Android アプリ 1,166 (71カ国) 1. 政府サイトとアプリを収集 2. 政府サイトにおけるトラッカーを測定 3. 悪質な政府及び トラッカードメインを特定 4. 政府系 Android アプリを解析 例：⽇本における政府系 Android アプリ COCOA マイナポイント

結果：政府系サイトのセキュリティ分析 1/2 9 • 政府系サイトの 29.9% に 1 つ以上のトラッカー 最も多いのは YouTube 上位 10 件のトラッカー 出典：｢令和２年版情報通信⽩書｣, 総務省, https://www.soumu.go.jp/johotsusintokei/whitepaper/ 例：情報通信⽩書のサイトにおけるトラッキング 上位は Google 関連の トラッキング

• トラッカーによって設定された Cookie がさまざまな有効期間を 持っていることがわかった →セッション後に失効しない Cookie は攻撃の機会を増やす • VirusTotal[8] によって 0.2% の政府系サイトが疑わしい もしくは悪意のあるものとしてフラグ付け 結果：政府系サイトのセキュリティ分析 2/2 10 サイト/アプリに悪意あるコンテンツ が含まれている 可能性を判断するシステム [8]https://www.virustotal.com/ • 1ヶ⽉以内に有効期限が切れる設定： 11.5% • 9999 年後に有効期限が切れる設定： 13% YouTube Cookie の結果

• 1166 のアプリに合計 1647 のトラッキング SDK が存在 • 2.57% の政府系アプリが Firebase データベースの 設定ミスによって個⼈情報を公開（FireBaseScanner[9] を利⽤） • HTTP 経由でログイン情報を平⽂送信しているアプリも存在 ‒ バングラデシュ，ブラジル，インド，マレーシア， ナイジェリア，パレスチナ，アラブ⾸⻑国連邦の７カ国のアプリ 結果：政府系 Android アプリのセキュリティ分析 11 [9]https://github.com/shivsahni/FireBaseScanner 政府系サイト/アプリ Firebase データベース FireBaseScanner 設定ミスをしている場合 収集可能 データの送受信 ユーザ識別⼦，パスワード，メールアドレス 電話番号などが含まれるかをチェック →その後速やかに削除

• 漏洩に関する調査結果を 11 の政府系アプリ開発者に開⽰ →数ヶ⽉後に1件の回答があったのみ（何度かフォローアップ） • 悪意のあるサイトと判定された 8 の政府系サイトに開⽰ →何の回答も得られなかった • 悪意のあるアプリと判定された 38 の政府系アプリに開⽰ →1つの開発者からのみ連絡があった 各国政府に対する調査結果の開⽰ 12 各国の対応は不誠実であることがわかる

• トラッキングによって政府にはメリットがある⼀⽅で ユーザをトラッキングにさらすことは情報漏洩等の危険性 • 19.8% のアプリが政府以外のメールアドレスを持つ開発者に よって作成されていることが判明 →情報漏洩の危険性は⾼まる • 政府サイト/アプリは税⾦での運⽤であるにも関わらず 政府によって世界中の⼈々のデータを IT 企業が収集可能な状態に 政府による商⽤トラッキングの利⽤に対する考察 13 少なくとも⾃国の法律に準拠するために政府のサイトや アプリのトラッキングやセキュリティを定期的に確認する必要がある

世界各国の政府が運⽤するサイトやアプリの プライバシー・セキュリティについての調査 • 政府のサービスによって商⽤トラッカーが世界中の ⼈々のデータを収集可能であることがわかった まとめ 調査対象 調査結果の抜粋 Web サイト 150,244 (206カ国) Android アプリ 1,166 (71カ国) Google によるトラッキング 17% 37% 機密情報を第三者や攻撃者に漏洩 23.1% サイト アプリ アプリ 14

Investigating Advertisersʼ Domain-changing Behaviors and Their Impacts on Ad-blocker Filter Lists Track: Security, Privacy, and Trust Measurement & Survey 15 Su-Chin Lin1, Kai-Hsiang Chou1, Yen Chen1, Hsu-Chun Hsiao1, Darion Cassel2, Lujo Bauer2, Limin Jia2 1 National Taiwan University(Taiwan), 2 Carnegie Mellon University(US)

アドブロッカーのフィルタリストを回避するために 広告主が新規に作成した広告ドメインを検出する⼿法の研究 • 回避するような広告ドメインのドメイン変更パターンを発⾒ • アドブロックの回避が広告ブロックのプライバシー保護に 悪影響を及ぼすことを明らかにした どんな研究？ ブロックを回避することで延びる 広告ドメインの寿命 平均 784.7 ⽇ プライバシー侵害をする 広告ドメインの割合 23.7%

• アドブロッカーはフィルタリストを利⽤することで 広告とトラッカーを識別・ブロックするツール 背景：アドブロッカー 17 Q: なぜブロックするのか？ 1. ユーザの体験向上 ：不要な情報の削減，読み込み時間の短縮 2. プライバシーの保護：デバイス識別⼦の秘匿，トラッキングのブロック ユーザ ウェブサイト アドブロッカー 複数のフィルタリスト 表⽰ サイトの内容 広告ドメイン 既知の広告ドメインを カバーするルールのリスト 広告ブロック後の ウェブサイト 広告は表⽰されない doubleclick.com 広告主

• 別ドメインを⽣成することでフィルタリストによる識別を回避 背景：広告主によるブロックの回避 18 ユーザ ウェブサイト アドブロッカー 複数のフィルタリスト 表⽰ サイトの内容 広告ドメインA 広告ブロック後の ウェブサイト ブロックしても回避して 広告が表⽰される 広告ドメインB doubleclick2.com doubleclick.com 広告主 レプリカ広告ドメイン (RAD ドメイン) の⽣成 ドメイン⽣成アルゴリズムを使⽤して新しいRADドメインを作成 ドメイン変更によって⽣成された RAD ドメインは広告ブロックの フィルタリストのルールをすり抜けることがよくある

• RADドメインの影響について体系的に調査した既存研究がない • RADドメインの普及率とプライバシーへの影響を知りたい • RADドメインを分析することでフィルタリスト管理者が ドメイン変更に対応するのに役⽴つ可能性がある モチベーション 19 RADドメインが与えるアドブロックの効果や プライバシーへの悪影響は調査されていない

広告主によるドメイン変更が 広告ブロックのフィルタリストに与える影響の理解 • RQ1: 広告主によるドメイン変更の⼀般的なパターンはあるか？ →RADドメインが４パターンあることを発⾒ • RQ2: RADドメインの普及率とフィルタリングに登録されるまでの⽣存期間 はどの程度か？ →RADドメインは広告ドメインの期間を 784.7 ⽇間延⻑できる • RQ3: RADドメインのうちプライバシー侵害⾏為を⾏うものはどれくらいあ るのか？ →プライバシー侵害を⾏う RADドメインは 23.7％ ⽬的 20

• 既存の広告ドメインではない RAD ドメインを所有者や 広告ドメインの特徴から検出 ドメイン検出⼿法のアイデア 21 検出⽅法のアイデア ドメイン A, B は所有者が同じで構成や内容が似ている可能性が⾼い 広告ドメインA 広告ドメインB doubleclick2.com doubleclick.com

• 所有者や広告ドメインの構成や内容などの特徴から RAD ドメイ ンに該当する可能性の⾼いドメインを特定 • 誤検出の可能性があるため最後は⼈による判断 ドメイン検出⼿法の詳細 22 1. DNS レコード 2. TLS 証明書 所有者同定 1. URL パス 2. ファイル群 サイトの類似性判定 誤検出の可能性 への対応 ⼈による判断 広告ドメインA 広告ドメインB doubleclick2.com doubleclick.com doubleclick2.com RAD か否か

４つの変更パターンがあることを発⾒ • 1. ファーストパーティサブドメインへの移動 ‒ RAD ドメイン 17.7% (309/1,748) がそのファーストパーティのサブドメイン 実験結果：RAD ドメインのパターン 1/3 23 第三者広告ドメイン tracking.keywee.co ウェブサイト compass.com サイトのサブドメイン dynamic-js.compass.com ウェブサイト compass.com 広告の委任 RAD ドメイン ウェブサイト分析プロバイダによるドメイン回避のチュートリアルが存在 ファーストパーティのサブドメインを使⽤して広告を委譲する⽅法を説明 第三者ドメインに悪意がある場合ブロックできず危険 ドメインが移動

４つの変更パターンがあることを発⾒ • 2. リボルビングドメイン（RADドメイン）の使⽤ ‒ 15 の広告主から 222 のリボルビングドメインが発⾒ ‒ 294 のファーストパーティに影響 実験結果：RAD ドメインのパターン 2/3 24 LuckyAds 36ドメイン qakdki.com inpiza.com ⁝ リボルビングドメイン作成の例 これらは CNAME レコードが共通 luckylb.com luckyads.tech 広告主

４つの変更パターンがあることを発⾒ • 3. サブドメインの変更 ‒ 関連する広告ドメインと親ドメインを共有 ‒ 親ドメイン: adsame1.cnr.cn → RADドメイン: ggdata1.cnr.cn ‒ ドメインルールが追加されるまではブロックできない • 4. CDNドメインの使⽤ ‒ 5 つは Azure CDN (.azureedge.net) ‒ 160 は Amazon CloudFront CDN (.cloudfront.net) 実験結果：RAD ドメインのパターン 3/3 25

• ブロックされていない RAD ドメイン（回避するドメイン）の 平均追加⽣存期間は 784.7 ⽇ ‒ ブロックされた RAD ドメインでは平均⽣存⽇数は424.2⽇ 実験結果：RAD ドメインの⽣存時間 26 • Blocked, Non-blocked の違いは フィルタリストによる⾃動検知 ドメイン⽣成することで広告主はドメ インを変更し続けることができる →個々のドメインが短命であっても全 体の⽣存時間が⼤幅に増加することが ある

アドブロッカーのフィルタリストを回避するために 広告主が新規に作成した広告ドメインを検出する⼿法の研究 • 回避するような広告ドメインのドメイン変更パターンを発⾒ • アドブロックの回避が広告ブロックのプライバシー保護に 悪影響を及ぼすことを明らかにした どんな研究？ ブロックを回避することで延びる 広告ドメインの寿命 平均 784.7 ⽇ プライバシー侵害をする 広告ドメインの割合 23.7%

本⽇のまとめ 28

本⽇紹介した研究 29 セキュリティやプライバシーに関連する論⽂を紹介 1. 世界各国の政府が運⽤するサイトや アプリのセキュリティについて調査 2. アドブロッカーのフィルタリストを 回避する広告ドメインの検出する⼿法 トラッキング サイトやアプリ の送受信 ユーザ 世界各国の 政府系サービス IT 企業 広告主 フィルタ リスト 回避 ユーザ 回避を検出 トラッキングを調査 ユーザは広告をブロック