セキュリティ・ベンダーのブログから、最近の話題を紹介する。まずは、セキュアであるはずのHTTPSでも情報漏洩の危険があるという話題からだ。スロバキアのイーセットが、米カリフォルニア大学バークレー校の研究者らが発表した調査結果をブログで紹介している。研究者らは、ユーザーがHTTPS経由で訪問したWebページを約9割の精度で特定できるトラフィック分析の手法を開発したという。これが悪用されれば、健康状態や財務状況、さらには性的嗜好に関するデータが漏洩するおそれがある。
調査では、ビデオストリーミングサイトや医療関連サイトなどのWebページ6000ページに対してトラフィック分析攻撃を行い、89%の確率でユーザーが訪問したページを特定することに成功した。研究者らによると、この手法は精度が60%だった旧来のアルゴリズムと比べ、エラー率を大幅に縮小する。
この攻撃では複数の統計分析方法を使用する。クラスタリング技法でトラフィックにおける複数のパターンを特定し、ガウス分布を使って各集合体の類似度を判断。トラフィックサンプルを、さまざまな機械学習技術に対応する固定間隔表示にマッピングする。
攻撃者は、被害者と同じWebサイトを訪問して、被害者のトラフィックデータにアクセスする必要がある。ISPや雇用主などの権限ならこうしたデータを簡単に入手可能だと、調査レポートは指摘している。
この手口を使って、広告販売にいそしむISPは暗号化を施す代わりにデータマイニングを実行することができる。また雇用主は、内部告発者がいるかもしれない従業員のWebページ閲覧を監視することができる。政府が反体制派を特定するために利用することも考えられる。