HTMLとCSSだけでWebブラウザにサイドチャネル攻撃を仕掛ける手法

攻撃の概略図。(b)がString and Sock、(c)がCSS Prime+Probe

　HTMLとCSSでWebブラウザベースのサイドチャネル攻撃を実現する手法に関する論文が8日(現地時間)公開された。Anatoly Shusterman氏、Ayush Agarwal氏、Sioli O'Connell氏、Daniel Genkin氏、Yossi Oren氏、Yuval Yarom氏によるもので、JavaScriptをまったく使用せずとも攻撃が可能だとしている。

　論文では「String and Sock」と「CSS Prime+Probe」の2種類の攻撃手法を提示。どちらもひじょうに長い文字列を悪用しており、後者は前者をベースとしてより必要要件を絞った攻撃となっている。それぞれJavaScriptの「indexOf()」関数と長い文字列を含む変数、HTMLに組み込まれた長いクラス名を含むCSSを利用して、キャッシュの動作に関する時間を計測し情報の窃取を狙う。

　現在のWebブラウザでは、このような時間の計測を正確に行なえないようにしたり、JavaScriptの機能を制限/ブロック、場合によっては完全に無効化することで、ユーザーを脅威から保護している。一方で、今回の手法については、前者はわずかなJavaScript関数で、後者は使うことなく動作が可能なことから、TorやDeterFoxといったセキュリティ性を高めたWebブラウザ環境など、極めて制限の厳しい環境でも有効性があるとしている。

　また、実行に必要な要件が少なく、CPUアーキテクチャに応じた高度な調整などが必要ないため、Intel/AMD CPUだけでなく、SamsungのExynosやApple M1でも動作できるとしている。