ブラウザのプライバシー機能を逆手にとってユーザーを追跡する「プールパーティー攻撃」とは？

ブラウザはウェブサイトが開いたり消費したりできるリソース量を制限しており、異なる閲覧コンテキストが同じプールからリソースを消費しています。そこで、ブラウザには各サイトに個別のリソースセットを与えることで、トラッカーがサイト間でユーザーを追跡することを防ぐ「パーティショニング」という機能が導入されています。しかし、このパーティショニングを悪用する「プールパーティー攻撃」について、ウェブブラウザ・Braveの開発チームが解説しています。

[2112.06324] Pool-Party: Exploiting Browser Resource Pools as Side-Channels for Web Tracking
https://arxiv.org/abs/2112.06324

Preventing Pool-Party Attacks | Brave Browser
https://brave.com/privacy-updates/13-pool-party-side-channels/

パーティショニングは、あるサイトのトラッカーが別のサイトのユーザーと同じであることを知るのを防ぐことで、クロスサイトトラッキングからユーザーを保護します。例えば「site-a.example」と「site-b.example」の両方が「tracker.example」からのトラッキングスクリプトを含んだとしても、パーティショニングによって、「それぞれのサイトを同じ人が訪れたこと」にtracker.exampleが気づくことを防ぎ、トラッカーが複数のサイト間でユーザーの動きをリンクさせることを防ぎます。

ブラウザが管理するリソースはウェブストレージやネットワーク、CSSキャッシュ、フォントキャッシュなど複数存在します。パーティショニング可能なリソースはブラウザごとに異なり、以下のページでチェックすることができます。

PrivacyTests.org: open-source tests of web browser privacy
https://privacytests.org/

プールパーティー攻撃とはサイト側がこのリソースプールのパーティショニングを悪用したもので、攻撃者がサイト間で共有されるリソースを操作することで、サイト同士で通信を行い、トラッキングするというものです。

Braveは「このプールパーティー攻撃はすべての一般的なブラウザに対して、さまざまな方法で悪用することが可能です。サイトの境界を越えて共有されるあらゆるリソースプールはサイト間のトラッキングに利用される可能性があります」と述べています。

Braveは、広帯域幅のリソースプールの制限を解除して攻撃をユーザーに気づかせるようにするなど、プールパーティー攻撃からユーザーを保護するための機能をデスクトップ向けとAndroid向けに展開する予定としています。また、AppleやGoogle、Mozillaなど、他ブラウザを開発する企業とも連携し、ウェブブラウザ全体がプールパーティー攻撃に対処できるようにすると述べました。

ただし、ソーシャルニュースサイトのHacker Newsでは、「Braveの記事を読んだだけではプールパーティー攻撃の影響と対策が不明瞭であり、プールパーティー攻撃の内容も過去に指摘されていたクロスサイトスクリプティングを再分類しただけで、周りから褒められるためのアピールなのではないか」と厳しく批判するコメントも寄せられていました。

I did some digging. To me it was rather unclear about the impact of this. Furthe... | Hacker News
https://news.ycombinator.com/item?id=29571633