サイバーセキュリティベンダーのImpervaは本日、Google Chromeのバグにより、革新的なハッカーに個人情報が漏洩したと発表しました。同社は、この脆弱性を悪用する行為を、Facebook、Google、そして「おそらく他の多くのウェブプラットフォーム」といったオンラインサービスで「20の質問」をし、人々の情報をひそかに収集することに例えています。
Imperva社は、回答の大きさを測定することで、質問に対する回答が「はい」か「いいえ」かを判断できると述べた。これらの回答と、特定の年齢層にのみコンテンツを表示できるFacebookのオーディエンス制限ツールを組み合わせることで、ハッカーは標的についてより深く理解できるようになる。(「20の質問」と比較されるのはそのためだ。このエクスプロイトも、基本的に「はい」か「いいえ」で答えるアプローチを用いて、人物の身元を推測していた。)
Imperva はブログ投稿でこのバグについて次のように説明しています。
「例えば、悪意のある人物は、オーディエンス制限オプションを使用して、可能性のある年齢ごとにかなり大きなFacebook投稿を作成し、Facebookが応答サイズを通じてユーザーの年齢を反映するようにすることができます。…同じ方法を使用して、ユーザーの性別、いいね!、および細工された投稿やFacebookのグラフ検索エンドポイントを通じて反映できた他の多くのユーザープロパティを抽出することができます。」
しかし、この手法はFacebookに限らず、他のサービスからもデータを収集できる可能性があります。Impervaによると、ハッカーが標的のメールアドレスを入手した場合、特に大きな被害をもたらす可能性があります。「ハッカーは個人情報とログイン用メールアドレスを関連付け、より広範かつ侵入的なプロファイリングを行うことが可能になるからです」。このプロファイリングによって、より効果的なフィッシング攻撃やその他の攻撃が可能になる可能性があるのです。
Impervaは、脆弱性を確認し概念実証を完了した直後にGoogleにこの問題を報告したと述べています。Googleは7月にリリースされたChrome 68でBlinkエンジンの問題を修正しました。そのため、ブラウザが最新バージョンであれば、この脆弱性の影響を受けることはありません。ブラウザが最新バージョンでない場合は、今回のバグの公開を機に、最新バージョンのChromeをインストールしてこれらの攻撃から身を守ることをお勧めします。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
