Skypeで相手のIPがぬけるようになったらしい

SkypeなどVoIP電話にプライバシー漏えいにつながる問題、ファイル共有の趣味も

米仏独の研究者グループが攻撃手法を論文に

 

　Skypeを含むVoIP電話には、ユーザーの個人情報や位置情報などを特定され、プライバシー漏えいにつながる問題があることを、米仏独の研究者グループが明らかにした。

　この研究を行ったのは、米国Polytechnic Institute of New York UniversityのChao Zhang氏とKeith Ross氏、フランスI.N.R.I.A Sophia AntipolisのArnaud Legout氏とWalid Dabbous、ドイツMax Planck Institute for Software SystemsのStevens Le Blond氏らのグループだ。

　研究者らは、Skype通話で相手のIPアドレスが入手できることを発見。IPアドレスがわかると、商用データベースを使用すれば、相手の位置情報と使用しているISPを特定できる。

　しかし通常は、Skypeへの通話はコンタクトリストに載っている相手など、通話が可能でない限り不可能であるため、IPアドレスは入手できない。そのため研究者グループは特定のパケットをブロックすることで相手に気付かれずにSkype通話を開始し、終了させることによって、IPアドレスを入手する攻撃手法を開発した。NAT使用時でも可能だという。
　この方法を、例えば1時間に1回程度の頻度で定期的に繰り返すことによって、相手に気付かれることなく継続的に追跡し続けることができる。

　相手のIPアドレスから、FacebookやLinkedInなどのSNSと連携させ、例えば氏名、年齢、住所、職業、勤務先などさらに多くの情報を知ることができるという。これらの作業は自動化することが可能なため、何万人ものSkypeユーザーを追跡し、それぞれのプロフィールを作り上げ、巨大なデータベースを作ることすら理論的には可能だとしている。

　実験では、Skype通話相手のIPアドレスを取得し、相手がBitTorrentで共有しているファイルと結び付けることも可能だったとしている。

　研究者グループは、1万ユーザーを追跡してこの種のデータベースを作成する場合のコストを「1週間で500ドル程度」と試算した。作業を最適化すれば、コストを下げられる可能性もあるという。

　「世界中にいるハッカーは、Skypeユーザーがどこにいて、どのようなファイル共有の趣味があるかを簡単に追跡できる。一般市民からセレブや政治家に至るまで、この情報を利用してストーカーや脅迫、詐欺に使用することが可能だ」と危険性を指摘している。

　なお、この攻撃手法についての情報は、すでにSkypeとMicrosoftに対して通知したという。

　実験は、VoIP電話サービスとして最も多くのユーザーがいるSkypeを対象に行われたが、理論的にはP2P技術を使用しているどのようなVoIP電話でも攻撃可能で、Google TalkやWindows Live Messenger、QQなどでも可能だとしている。

　研究結果は、論文「I Know Where You are and What You are Sharing」としてすでに公開されており、その中では防御手法も提案している。また、11月2日にベルリンで開かれる「Internet Measurement Conference 2011」会議で発表する予定だ。

 

SkypeなどVoIP電話にプライバシー漏えいにつながる問題、ファイル共有の趣味も -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20111019_484719.html

 

とまあ、一見ショッキングな内容にはなっているものの、使っている技術自体は目新しいものは何も無い。

早い話がSkypeというものはP2Pネットワークを利用したインスタントメッセンジャーサービスの代表例のようなもので、P2Pであるからこそ、こういった集団であたっていくような手法を取られると、ここの特定が可能になってしまうという脆弱性は備わっているものだ。という前置きを一応おいておいて話していく。

 

＞Skypeを含むVoIP電話には、ユーザーの個人情報や位置情報などを特定され、プライバシー漏えいにつながる問題があることを、米仏独の研究者グループが明らかにした。

IPが漏えいする可能性があるということ、個人情報・位置情報はまた別の話

 

＞研究者らは、Skype通話で相手のIPアドレスが入手できることを発見。IPアドレスがわかると、商用データベースを使用すれば、相手の位置情報と使用しているISPを特定できる。

不可能、大まかな位置は特定可能。IPSは余裕で特定可能。

 

＞相手のIPアドレスから、FacebookやLinkedInなどのSNSと連携させ、例えば氏名、年齢、住所、職業、勤務先などさらに多くの情報を知ることができるという。

＞これらの作業は自動化することが可能なため、何万人ものSkypeユーザーを追跡し、それぞれのプロフィールを作り上げ、巨大なデータベースを作ることすら理論的には可能だとしている。

まさに机上の空論。IPからFacebookへどう連携させるのか。IPだけでこんな情報が漏えいするような設定をユーザがしているのであれば、それはまた別の問題だ。

 

＞実験では、Skype通話相手のIPアドレスを取得し、相手がBitTorrentで共有しているファイルと結び付けることも可能だったとしている。

不可能。Bittorrentは1つのトレントファイルに1つのネットワークが形成されるように設計されている。Bittorrent(潜在ユーザー数億人)の監視ネットワークが完成されていて、それと連携するならば可能。

その場合、Skype監視サービスとBittorrent監視サービスの両方を保持している必要がある。

 

要はそれほど騒ぐような内容でもないということ。

IPが抜けるよという話だけなのに、むしろ何故FaceBookやBittorrentなど他のネットサービスと絡めて発表したのかが理解しがたい。

ただ、IPと個人名が連結されているような、例えばピュアP2Pで友人と会話していて、友人には名前とIPが知られていれば、その友人はBittorrentでたまたま同じファイルを落としていればそれが友人であると知ることが可能になる。