SkypeなどVoIP電話にプライバシー漏えいにつながる問題、ファイル共有の趣味も

Polytechnic Institute of New York UniversityのKeith Ross氏

　Skypeを含むVoIP電話には、ユーザーの個人情報や位置情報などを特定され、プライバシー漏えいにつながる問題があることを、米仏独の研究者グループが明らかにした。

　この研究を行ったのは、米国Polytechnic Institute of New York UniversityのChao Zhang氏とKeith Ross氏、フランスI.N.R.I.A Sophia AntipolisのArnaud Legout氏とWalid Dabbous、ドイツMax Planck Institute for Software SystemsのStevens Le Blond氏らのグループだ。

　研究者らは、Skype通話で相手のIPアドレスが入手できることを発見。IPアドレスがわかると、商用データベースを使用すれば、相手の位置情報と使用しているISPを特定できる。

　しかし通常は、Skypeへの通話はコンタクトリストに載っている相手など、通話が可能でない限り不可能であるため、IPアドレスは入手できない。そのため研究者グループは特定のパケットをブロックすることで相手に気付かれずにSkype通話を開始し、終了させることによって、IPアドレスを入手する攻撃手法を開発した。NAT使用時でも可能だという。
　
　この方法を、例えば1時間に1回程度の頻度で定期的に繰り返すことによって、相手に気付かれることなく継続的に追跡し続けることができる。

　相手のIPアドレスから、FacebookやLinkedInなどのSNSと連携させ、例えば氏名、年齢、住所、職業、勤務先などさらに多くの情報を知ることができるという。これらの作業は自動化することが可能なため、何万人ものSkypeユーザーを追跡し、それぞれのプロフィールを作り上げ、巨大なデータベースを作ることすら理論的には可能だとしている。

　実験では、Skype通話相手のIPアドレスを取得し、相手がBitTorrentで共有しているファイルと結び付けることも可能だったとしている。

　研究者グループは、1万ユーザーを追跡してこの種のデータベースを作成する場合のコストを「1週間で500ドル程度」と試算した。作業を最適化すれば、コストを下げられる可能性もあるという。

　「世界中にいるハッカーは、Skypeユーザーがどこにいて、どのようなファイル共有の趣味があるかを簡単に追跡できる。一般市民からセレブや政治家に至るまで、この情報を利用してストーカーや脅迫、詐欺に使用することが可能だ」と危険性を指摘している。

　なお、この攻撃手法についての情報は、すでにSkypeとMicrosoftに対して通知したという。

　実験は、VoIP電話サービスとして最も多くのユーザーがいるSkypeを対象に行われたが、理論的にはP2P技術を使用しているどのようなVoIP電話でも攻撃可能で、Google TalkやWindows Live Messenger、QQなどでも可能だとしている。

　研究結果は、論文「I Know Where You are and What You are Sharing」としてすでに公開されており、その中では防御手法も提案している。また、11月2日にベルリンで開かれる「Internet Measurement Conference 2011」会議で発表する予定だ。