複数の偽IDによるネットワークサービス攻撃
シビル 攻撃は、コンピュータ ネットワークサービス に対する攻撃の一種で、 攻撃者は多数の 仮名 IDを作成し、それらを使用してサービスの評判システムを破壊し、不釣り合いに大きな影響力を獲得します。解離性 同一性障害 と診断された女性の症例研究である書籍 『シビル』 の主題にちなんで名付けられました。 [1] この名前は、2002年以前に Microsoft Research のBrian Zillによって提案されました。 [2] 擬似スプーフィングという 用語は、L. Detweilerによって Cypherpunksメーリングリスト で造られ 、2002年以前にはピアツーピアシステムに関する文献で同種の攻撃に使用されていましたが、「シビル攻撃」ほどの影響力はありませんでした。 [3]
説明
コンピュータセキュリティ におけるシビル攻撃とは、複数のアイデンティティを作成することで レピュテーションシステムを 破壊しよう とする攻撃である。 [4] レピュテーションシステムのシビル攻撃に対する脆弱性は、アイデンティティをいかに安価に生成できるか、レピュテーションシステムが信頼できるエンティティにリンクする信頼チェーンを持たないエンティティからの入力をどの程度受け入れるか、そしてレピュテーションシステムがすべてのエンティティを同一に扱うかどうかによって決まる。2012年時点では、 BitTorrent [更新] Mainline DHTのような既存の現実的なシステムにおいて、大規模なシビル攻撃が非常に安価かつ効率的に実行可能であることが実証されている 。 [5] [6]
ピアツーピアネットワーク上のエンティティは、ローカルリソースにアクセスできるソフトウェアです 。 エンティティ は、 アイデンティティ を提示することで、ピアツーピアネットワーク上で自身をアドバタイズします 。1つのエンティティに複数のアイデンティティが対応付けられる場合があります。つまり、アイデンティティとエンティティのマッピングは多対1です。ピアツーピアネットワーク内のエンティティは、冗長性、リソース共有、信頼性、整合性のために複数のアイデンティティを使用します。ピアツーピアネットワークでは、アイデンティティは 抽象化 として使用されるため、リモートエンティティは、アイデンティティとローカルエンティティの対応を必ずしも知らなくても、アイデンティティを認識できます。デフォルトでは、各個別のアイデンティティは通常、個別のローカルエンティティに対応すると想定されます。実際には、多くのアイデンティティが同じローカルエンティティに対応する場合があります。
敵対者は、複数の異なるノードとして表示および機能するために、ピアツーピアネットワークに複数のアイデンティティを提示する場合があります。そのため、敵対者は、投票結果に影響を与えるなど、ネットワークに対する不均衡なレベルの制御を獲得できる可能性があります
(人間の)オンラインコミュニティ の文脈では 、このような複数のアイデンティティは ソックパペット と呼ばれることがあります。あまり一般的ではない用語である 逆シビル攻撃は、 多くのエンティティが単一のアイデンティティとして現れる攻撃を説明するために使用されています。 [7]
例
2014年には、トラフィック確認攻撃と組み合わせた注目すべきシビル攻撃が、 Tor匿名ネットワーク に対して数か月間実行されました。 [8] [9]
Torネットワークユーザーに対して実行されたシビル攻撃の例は他にもあります。これには、2020年のビットコインアドレス書き換え攻撃が含まれます。攻撃者はすべてのTor出口リレーの4分の1を制御し、 SSLストリッピング を使用して安全な接続をダウングレードし、資金をBTCMITM20として知られる脅威アクターのウォレットに流用しました。 [10] [11] [12]
もう1つの注目すべき例は、脅威アクターKAX17が2017年から2021年にかけて実行した攻撃です。この組織は、Torユーザーの匿名性を奪おうと、主に中間地点である900台以上の悪意のあるサーバーを制御しました。 [ 13] [14]
予防
シビル攻撃防止の既知のアプローチには、アイデンティティ検証、ソーシャルトラストグラフアルゴリズム、 経済的 コスト、人格検証、 アプリケーション 固有の防御などがあります。
アイデンティティ検証
検証技術は、シビル攻撃を防ぎ、なりすましの 敵対的な組織を排除するために使用できます。ローカルエンティティは、アイデンティティとエンティティ間の1対1の対応を保証し、逆引き参照さえも提供する中央機関に基づいてリモートアイデンティティを受け入れることができます。アイデンティティは直接的または間接的に検証されます。直接検証では、ローカルエンティティは中央機関 に問い合わせて リモートアイデンティティを検証します。間接検証では、ローカルエンティティは既に受け入れられたアイデンティティに依存し、そのアイデンティティが問題のリモートアイデンティティの有効性を保証します
実際のネットワークアプリケーションやサービスでは、 電話番号検証 、 クレジットカード 検証、あるいはクライアントの IPアドレスに基づく検証など、さまざまな アイデンティティプロキシ を使用して、限定的なシビル攻撃耐性を実現することがよく あります。これらの方法には、通常、ある程度のコストをかけて複数のアイデンティティプロキシを取得すること、あるいは SMSスプーフィング や IPアドレススプーフィング などの手法を用いて低コストで多数を取得することさえ可能であるという制限があります。このようなアイデンティティプロキシの使用は、必要なアイデンティティプロキシに容易にアクセスできない人々を 排除する可能性もあります。例えば、自分の携帯電話やクレジットカードを持っていない人や、 キャリアグレードの ネットワークアドレス変換の 背後にいて IPアドレスを他の多くの人と共有している
ユーザーなどです
アイデンティティベースの検証技術は一般的に、匿名性を 犠牲にして説明責任を提供します。これは、特に 検閲 のない情報交換やデリケートなトピックに関するオープンな議論 を許可したいオンラインフォーラムでは、望ましくないトレードオフとなる可能性があります。 検証機関は 、逆引き検索の実行を拒否することでユーザーの匿名性を維持しようと試みることができますが、このアプローチは検証機関を攻撃の格好の標的にします。 閾値暗号 を使用するプロトコルは、このような検証機関の役割を複数のサーバーに分散させる可能性があり、1つまたは限られた数の検証サーバーが侵害された場合でも、ユーザーの匿名性を保護します。 [15]
社会的信頼グラフ
ソーシャルグラフ の接続特性に基づくシビル攻撃防止技術は、 匿名性を維持しながら、特定のシビル攻撃者によって引き起こされる可能性のある被害の範囲を制限することもできます。このような防止技術の例としては、SybilGuard [16] 、SybilLimit [17] 、 Advogato Trust Metric [18] 、 SybilRank [19] 、分散型P2Pベースのレピュテーションシステムにおけるシビルクラスターを識別するためのスパース性ベースのメトリック [20]などがあります。
これらの技術はシビル攻撃を完全に防ぐことはできず、広範囲にわたる小規模なシビル攻撃に対して脆弱である可能性があります。さらに、現実世界のオンラインソーシャルネットワークが、これらのアルゴリズムが想定する信頼または接続性の仮定を満たすかどうかは明らかではありません。 [21]
経済的コスト
あるいは、人工的な 参入障壁 として経済的コストを課すことで、シビル攻撃のコストを高めることができるかもしれません。例えば、 プルーフ・オブ・ワークでは、ユーザーは 暗号 パズルを解くために一定量の計算労力を費やしたことを証明する必要があります 。 ビットコイン や関連するパーミッションレスな 暗号通貨 では、マイナーは ブロックチェーン にブロックを追加するために競争し、一定期間に投資した計算労力にほぼ比例した報酬を獲得します。 ストレージ や 既存の暗号通貨へ の投資など、他のリソースへの投資も同様に経済的コストを課すために使用される可能性があります。
排除投票
アトミックオーナーシップブロックチェーンは、アトミックアセットごとに独立したマイクロプライベートチェーンの分散型アーキテクチャを通じて、シビル攻撃を阻止します。各チェーンは、署名を介して暗号所有者によってのみ制御され、ノード投票によるコンセンサスを回避します。セキュリティは参加者数やリソースプールではなく、ブロードキャストのタイミングと検証可能な転送に依存しているため、攻撃者は偽のIDを作成して影響力を増幅することはできません。これにより、公平で改ざん防止可能な循環が保証されます。 [22]
人格の検証
厳格な「1人1つ」の割り当てルールを維持しようとする身元検証の代替として、検証機関は、ユーザーの実在する身元に関する知識以外のメカニズム(例えば、 匿名パーティ [23] における特定の場所と時間における身元 不明の 人物の物理的な存在の検証など)を使用して、オンラインIDと現実世界のユーザー間の1対1の対応を強制することができます。このような 人格証明アプローチは、各人間の参加者が 合意 において正確に1票を行使する、許可のない ブロックチェーン と 暗号通貨 の基礎として提案されています 。 [24] [25] 人格証明にはさまざまなアプローチが提案されており、実装済みのものもありますが、多くの使いやすさとセキュリティの問題が残っています。 [26]
アプリケーション固有の防御
多くの分散プロトコルは、シビル攻撃からの保護を念頭に置いて設計されています。SumUp [27] とDSybil [28] は、オンラインコンテンツの推奨と投票のためのシビル耐性アルゴリズムです。Whānauは、シビル耐性のある 分散ハッシュテーブル アルゴリズムです。 [29] I2Pによる Kademlia の実装に も、シビル攻撃を軽減するための規定があります。 [30]
関連項目
参考文献
^ Lynn Neary (2011年10月20日). 実在の「シビル」、多重人格は偽物だったと認める. NPR. 2017年2月8日閲覧
^ Douceur, John R. (2002). 「シビル攻撃」. ピアツーピアシステム . コンピュータサイエンス講義ノート. 第2429巻. pp. 251–60. doi :10.1007/3-540-45748-8_24. ISBN 978-3-540-44179-3 。
^ オラム、アンドリュー (2001). ピアツーピア:破壊的技術のメリットを活用する . O'Reilly Media, Inc.. ISBN 978-0-596-00110-0 。
^ Trifa, Zied; Khemakhem, Maher (2014). 「シビル攻撃に対する緩和戦略としてのシビルノード」 Procedia Computer Science . 32 : 1135–40 . doi : 10.1016/ j.procs.2014.05.544
^ Wang, Liang; Kangasharju, Jussi (2012). 「BitTorrentメインラインDHTにおける現実世界のシビル攻撃」. 2012 IEEE Global Communications Conference (GLOBECOM) . pp. 826–32 . doi :10.1109/GLOCOM.2012.6503215. ISBN 978-1-4673-0921-9 . S2CID 9958359
^ Wang, Liang; Kangasharju, Jussi (2013). 「大規模分散システムの測定:BitTorrent Mainline DHTの事例」 IEEE P2P 2013 Proceedings . pp. 1– 10. doi :10.1109/P2P.2013.6688697. ISBN 978-1-4799-0515-7 . S2CID 5659252
^ Auerbach, Benedikt; Chakraborty, Suvradip; Klein, Karen; Pascual-Perez, Guillermo; Pietrzak, Krzysztof; Walter, Michael; Yeo, Michelle (2021). 「自動接触追跡における逆シビル攻撃」. Topics in Cryptology – CT-RSA 2021. Cham: Springer International Publishing. pp. 399– 421. doi :10.1007/978-3-030-75539-3_17. ISBN 978-3-030-75538-6 . ISSN 0302-9743. S2CID 220274872.
^ Torセキュリティアドバイザリ:「早期リレー」トラフィック確認攻撃 Torプロジェクト、2014年7月30日
^ Dan Goodin (2014年7月31日). Torネットワークへのアクティブな攻撃は、5か月間ユーザーのクローキング解除を試みた。
^ Cimpanu, Catalin (2021年12月3日). 「謎の脅威アクターが数百の悪意のあるTorリレーを運用している」. The Record . 2021年 12月7日 閲覧。 …悪意のあるTorリレーを運用するほとんどの脅威アクターは、ユーザーのトラフィックを変更できる出口ポイントの実行に重点を置く傾向があります。例えば、NusenuがBTCMITM20として追跡している脅威アクターは、Webトラフィック内のビットコインウォレットアドレスを置き換え、ユーザーの支払いをハイジャックするために、数千の悪意のあるTor出口ノードを実行しました
^ Cimpanu, Catalin(2021年5月9日)「過去1年間で数千のTor出口ノードが暗号通貨ユーザーを攻撃」 The Record 。 2021年 12月7日 閲覧。16 か月以上にわたり、脅威アクターがトラフィックを傍受し、暗号通貨関連サイトにアクセスするユーザーに対してSSLストリッピング攻撃を実行するために、Torネットワークに悪意のあるサーバーを追加していることが確認されています。
^ isabela(2020年8月14日)「Torセキュリティアドバイザリ:2020年5月と6月にSSLストリッピングを実行していた出口リレー」 Tor Blog 。 2021年 12月7日 閲覧
^ Cimpanu, Catalin (2021年12月3日). 「謎の脅威アクターが数百の悪意あるTorリレーを運用」. The Record . 2021年 12月7日 閲覧。 ヌセヌ氏は、これらのサーバーをKAX17の傘下にまとめ、この脅威アクターは継続的にサーバーを追加しており…産業規模で、常に数百台規模のサーバーを運用していると述べています。
^ Paganini, Pierluigi (2021年12月3日). 「KAX17の脅威アクターは、数千の不正なリレーサーバーを実行しているTorユーザーの匿名性を解除しようとしている」. サイバーセキュリティ. 2021年 12月7日 閲覧 。KAX17 アクターによって設置されたTorリレーサーバーのほとんどは、世界中のデータセンターに設置されており、主にエントリポイントと中間点として構成されています。
^ John Maheswaran、Daniel Jackowitz、Ennan Zhai、David Isaac Wolinsky、Bryan Ford (2016年3月9日). フェデレーションされたオンラインIDからのプライバシー保護暗号化認証情報の構築 (PDF) . 第6回ACMデータおよびアプリケーションセキュリティとプライバシーに関する会議 (CODASPY).
^ Yu, Haifeng; Kaminsky, Michael; Gibbons, Phillip B; Flaxman, Abraham (2006). SybilGuard:ソーシャルネットワークを介したシビル攻撃の防御 .2006年コンピュータ通信のアプリケーション、技術、アーキテクチャ、プロトコルに関する会議 - SIGCOMM '06.pp. 267–78 . doi : 10.1145/1159913.1159945 . ISBN 978-1-59593-308-9 。
^ SybilLimit:シビル攻撃に対するほぼ最適なソーシャルネットワーク防御 .IEEEセキュリティとプライバシーシンポジウム.2008年5月19日 .doi : 10.1109/SP.2008.13
^ O'Whielacronx, Zooko . 「Levienの攻撃耐性信頼指標」 <p2p-hackers at lists.zooko.com> . gmane.org. 2014年7月7日時点のオリジナルからのアーカイブ。 2012年 2月10日 閲覧 。
^ Cao, Qiang; Sirivianos, Michael; Yang, Xiaowei; Pregueiro, Tiago (2012年4月25~27日). 大規模ソーシャルオンラインサービスにおける偽アカウント検出の支援. USENIXネットワークシステムの設計と実装
^ Kurve, Aditya; Kesidis, George (2011). 「分散スパースカットモニタリングによるシビル攻撃検出」. 2011 IEEE国際通信会議 (ICC) . pp. 1– 6. doi :10.1109/icc.2011.5963402. ISBN 978-1-61284-232-5 . S2CID 5082605.
^ Bimal Viswanath; Ansley Post; Krishna Phani Gummadi; Alan E Mislove (2010年8月). 「ソーシャルネットワークベースのシビル攻撃防御の分析」 . ACM SIGCOMM Computer Communication Review . 40 (4): 363– 374. doi :10.1145/1851275.1851226
^ 「アトミックオーナーシップブロックチェーンによるより高度な分散化の実現」 Ledger 、2025年10月29日。 2025年 11月10日 閲覧 。
^ フォード、ブライアン、ストラウス、ジェイコブ(2008年4月1日)。 「オンラインで説明責任のある仮名のためのオフライン基盤」 。第1回ソーシャルネットワークシステムワークショップ - SocialNets '08。pp. 31–6。doi : 10.1145/1435497.1435503。ISBN 978-1-60558-124-8 。
^マリア・ボルゲ、エレフテリオス・ココリス=コギアス、フィリップ ・ ヨバノビッチ、ライナス・ガッサー、ニコラス・ガイリー、ブライアン・フォード(2017年4月29日)。 「Proof-of-Personhood:許可不要の暗号通貨の再民主化 」。IEEE Security & Privacy on the Blockchain(IEEE S&B)。doi : 10.1109/EuroSPW.2017.46
^ フォード、ブライアン(2020年12月)「民主主義の技術化か、技術の民主化か? 階層化アーキテクチャの視点から見た可能性と課題」ルーシー・バーンホルツ、エレーヌ・ランデモア、ロブ・ライヒ(編)『デジタル技術と民主主義理論』シカゴ大学出版局。ISBN 978-0-226-74857-3 。
^ ディヴィヤ・シッダールス、セルゲイ・イヴリエフ、サンティアゴ・シリ、ポーラ・バーマン(2020年10月13日)「誰がウォッチメンを監視するのか? 人格証明プロトコルにおけるシビル耐性のための主観的アプローチのレビュー | クラスcs.CR」 arXiv : 2008.05300 [cs.CR]
^ Nguyen Tran、Bonan Min、Jinyang Li、Lakshminarayanan Subramanian(2009年4月22日)。シビル耐性オンラインコンテンツ投票 (PDF) 。NSDI '09:第6回USENIXネットワークシステム設計・実装シンポジウム。
^ Haifeng Yu、Chenwei Shi、Michael Kaminsky、Phillip B. Gibbons、Feng Xiao(2009年5月19日)。DSybil :推薦システムのための最適なシビル耐性 。第30回IEEEセキュリティとプライバシーシンポジウム。doi : 10.1109/SP.2009.26
^ Chris Lesniewski-Laas、M. Frans Kaashoek (2010年4月28日). Whānau: シビル攻撃耐性分散ハッシュテーブル (PDF) . 第7回USENIXネットワークシステム設計・実装シンポジウム (NSDI).
^ 「ネットワークデータベース - I2P」.
外部リンク
Querci, Daniele; Hailes, Stephen (2010). 「モバイルユーザーに対するシビル攻撃:救出にあたる味方と敵」. 2010 Proceedings IEEE INFOCOM . pp. 1– 5. CiteSeerX 10.1.1.360.8730 . doi :10.1109/INFCOM.2010.5462218. ISBN 978-1-4244-5836-3 S2CID 2451937
Bazzi, Rida A; Konjevod, Goran (2006). 「オーバーレイネットワークにおける個別アイデンティティの確立について」. 分散コンピューティング . 19 (4): 267–87 . doi :10.1007/s00446-006-0012-y. S2CID 2723075.
Lesniewski-Laas, Chris (2008). 「シビル攻撃耐性のあるワンホップDHT」. 第1回ソーシャルネットワークシステムワークショップ - SocialNets '08 の議事録 . pp. 19– 24. doi :10.1145/1435497.1435501. ISBN 978-1-60558-124-8 . S2CID 5793502.
Newsome, James; Shi, Elaine ; Song, Dawn; Perrig, Adrian (2004). 「センサーネットワークにおけるシビル攻撃」. 第3回国際センサーネットワーク情報処理シンポジウム - IPSN'04 の議事録 . pp. 259– 68. doi :10.1145/984622.984660. ISBN 978-1-58113-846-7 . S2CID 12451248.
シビル攻撃への解決策の調査
ネットワーク形成について:シビル攻撃と評判システム
Seigneur, Jean-Marc; Gray, Alan; Jensen, Christian Damsgaard (2005). 「信頼の移転:シビル攻撃のない自己推薦の促進」. Trust Management . Lecture Notes in Computer Science. Vol. 3477. pp. 321–37 . CiteSeerX 10.1.1.391.5003 . doi : 10.1007/11429760_22. ISBN 978-3-540-26042-4 。
Guido Urdaneta、Guillaume Pierre、Maarten van SteenによるDHTセキュリティ技術の調査。ACM Computing surveys、2009年。
Marco Lazzariによるプロフェッショナルソーシャルネットワークで使用される評判アルゴリズムの脆弱性に関する実験:Naymzの事例。IADIS国際会議e-Society 2010の議事録。