2025年01月22日 12時15分セキュリティ

15歳の少年が標的の位置情報をバレずに開示する0クリック攻撃を開発

15歳の高校3年生という「ダニエル」氏が、Signal、Discord、X(旧Twitter)など一般的に使用されている幅広いツールを使用してターゲットに気付かれることなくおおよその位置情報を知ることができる攻撃手法を開発したと発表しました。

Unique 0-click deanonymization attack targeting Signal, Discord and hundreds of platform · GitHub
https://gist.github.com/hackermondev/45a3cdfa52246f1d1201c1e8cdef6117

ダニエル氏の攻撃手法はCloudflareのCDNサービスでのキャッシュの仕組みを活用しているとのこと。Cloudflareで配信されるリソースにユーザーがアクセスした際、Cloudflareはユーザーを最寄りのデータセンターへアクセスさせ、そのデータセンターに当該リソースがキャッシュされていればキャッシュを返し、キャッシュがなければ元となるサーバーへリソースを取得します。

Cloudflareのデータセンターは120カ国以上の330以上の都市に渡って設置されており、それぞれに最寄りの空港の空港コードが割り当てられています。Cloudflareを経由して取得したリソースのレスポンスヘッダーには「どのデータセンターを経由したのか」という情報が記載されます。

ユーザーが明示的に経由するデータセンターを選択することはできませんが、ダニエル氏はCloudflare Workersを使用してCloudflare内部のIPを使用する事で経由するデータセンターを指定することに成功。特定のリソースについて、「当該リソースがキャッシュされているかどうか」および「キャッシュされてからの経過時間」をデータセンターごとに知ることが可能になりました。

ダニエル氏は「厳しいセキュリティがある」とうたうメッセージアプリ「Signal」を使用し、実際に攻撃を試してみたとのこと。Signalではユーザーが画像を送信すると、Cloudflareを経由して配信されます。

ターゲットがチャット画面を開いて画像を確認すると、その画像がターゲットの最寄りのデータセンターにキャッシュされます。攻撃者はそれぞれのデータセンター別にキャッシュの状況をチェックすれば、ターゲットがどのデータセンターの近くに住んでいるかが確認できるというわけ。Signalの実験では、実際にターゲットが居たニューヨークの隣の州であるニュージャージーのデータセンターにキャッシュが残っていました。

上記の例ではターゲットがチャット画面を開いて画像を見る必要がありますが、通知設定でコンテンツ内容を通知する設定にしていた場合、攻撃者から画像を送信されるだけで大まかな位置がバレることになります。

また、ダニエル氏はチャット＆通話サービスのDiscordでも攻撃を行えることを実証しています。Discordのアカウントを作成後、ターゲットに対しフレンド申請を行うとターゲットにプロフィール画像付きの通知が行われます。

Discordのプロフィール画像はCloudflareで配信されているため、プロフィール画像のキャッシュ状況を調べればどのデータセンターの近くに住んでいるかが判明するというわけ。

Cloudflareはダニエル氏からの報告を受け、「特定のデータセンターを指定してアクセスできるバグ」を修正しました。しかしダニエル氏によると、VPNを使用する事で実質的にデータセンターを指定することができ、根本的な解決には至っていないとのこと。最終的に、Cloudflareは「今回の攻撃はCloudflareシステムの脆弱(ぜいじゃく)性とは考えておらず、保護が必要なリソースのキャッシュを無効化するのはユーザー側の責任」と述べました。一方、ユーザー側であるDiscordは「他のユーザーも影響を受けるためCloudflareの問題」としています。

ダニエル氏は今回の攻撃について、「CDNはパフォーマンスとスケーラビリティを向上させる一方で、新しい方法で悪用される可能性のあるリスクを意図せずもたらします」とまとめました。