たまたま見つかった研究アイディアがトップカンファレンスに採録
野本一輝(デロイト トーマツ サイバー合同会社)
[受賞論文]
Understanding the Inconsistencies in the Permissions Mechanism of Web Browsers
Journal of Information Processing Vol.31 (2023)
Kazuki Nomoto (Waseda Univ.), Takuya Watanabe, Eitaro Shioji, Mitsuaki Akiyama (NTT Social Informatics Labs.), Tatsuya Mori (Waseda Univ. / NICT / RIKEN AIP)
http://id.nii.ac.jp/1001/00227608/
本論文の研究アイディアは,他の実験をしているときにたまたま見つかったものである.当初は,Webブラウザの戻る操作に着目して研究を行っていた.スマートフォンでは,戻るボタンに加えてスワイプ操作によるページ遷移が可能である.また,JavaScriptではユーザのページ遷移の瞬間にイベントを発火させる仕組みがある.これらの仕組みにより,ユーザがスワイプ動作により戻る操作を行ったときに,ユーザが見ているWebページとJavaScriptのイベントが発火しているWebページが異なり,セキュリティ上のリスクになるのではないか?という研究を当初は行っていた.特にユーザのWebページの誤認リスクが高い機能として権限機構に着目し,戻る操作と同時にユーザに権限要求を行ったときの挙動について実験を行っていた.実験を行っているとなぜか権限要求が表示されない・うまく発火されないという挙動があることに気付いた.この発見から,Webブラウザの権限機構にはセキュリティ・プライバシー上のリスクが多く存在することに気付き,研究対象をWebブラウザにスイッチした.
研究内容としては,異なるプラットフォームで動作する22種類のWebブラウザにおける権限機構を自動分析するフレームワークを開発した.図-1は本フレームワークの動作画面である.このフレームワークを用いて191件の実装上の不一致を発見し,ユーザのトラッキングや不正な権限の取得などユーザのプライバシーを大きく侵害する攻撃に悪用されることを明らかにした.結果としては,本研究はセキュリティ分野のトップカンファレンス「The Network and Distributed System Security Symposium (NDSS) 2023」に採録されるに至った.
本研究では,実験や研究論文の執筆だけでなく,脆弱性報告を通じた研究成果の社会還元にも力を入れた.明らかになった脆弱性を調査対象としたすべてのWebブラウザベンダに報告を行い,脆弱性の修正に向けた議論を行った.その甲斐があり,複数のブラウザベンダは研究で明らかになった脆弱性を修正したブラウザをリリースしており,現在では世界中のスマホ・コンピュータにおいて,私の研究成果が反映されたブラウザが動いている.研究成果がすぐに社会にフィードバックされ,世の中のセキュリティ・プライバシーを向上させられることはサイバーセキュリティ研究の面白さの1つである.
現在,私は早稲田大学の博士課程に所属しつつ,デロイト トーマツ サイバーセキュリティ先端研究所において,サイバーセキュリティ・自動運転・デジタルツインシステムの研究開発を行っている.これからも,継続的な論文発表や社会実装を通して,サイバーセキュリティ分野の発展に貢献したい.
(2024年5月13日受付)
(2024年7月16日note公開)
■野本一輝
1999年生まれ.2021年に早稲田大学基幹理工学部情報通信学科で学士号,2023年に修士号を取得.現在は同大学院情報理工・情報通信専攻博士課程に在籍し,2023年よりデロイト トーマツ サイバー合同会社に入社.Webセキュリティと自動運転車セキュリティの研究に従事.