Threatpost - The First Stop For Security News

2月29日(米国時間)、Threatpostに掲載された記事「BREACH Revived to Steal Private Messages from Gmail, Facebook|Threatpost|The first stop for security news」が、研究者らによってBREACH(Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext Attack)攻撃の新しい手法が発見されたと伝えた。この手法を用いると、GmailやFacebookのチャットセッションなどに対する攻撃が可能になるとされている。

BREACH攻撃はCRIME攻撃の変形で、2013年に広く知られるようになった攻撃手法。データ圧縮やデータ暗号化を組み合わせて悪用する手法で、SSL のプライバシー保護機能を低下させるもの。攻撃手法が発覚してからは、サーバ側の設定を変更するなどしてこの攻撃への回避策がとられるようになっていた。

今回研究者らは、BREACH攻撃を軽減するとされてきたこれまでの設定変更が実際にはリスクの軽減には役立っておらず、依然として攻撃が可能であることを示している。

研究者らの説明によれば、ノイズをバイパスするために統計的手法を採用したところ、これまではBREACH攻撃の対象とは考えれていなかったところからも情報の窃取が可能になったとしている。BREACH攻撃はTLSレベルでの圧縮が実施されているかどうかが攻撃の要として利用されていたが、今回発見された方法ではTLSレベルで圧縮が行われていない場合でも適用でき、2013年に発見された範囲よりも攻撃範囲が広がっている。

研究者らはこれを低減する方法はすでにドラフトとして公開されているものの、まだどのブラウザでも実装されていないとし、ブラウザベンダやプロジェクトへ実装を呼びかけている。