「指紋」タグアーカイブ

ゼロ幅文字にエンコードした隠し情報で、文書をリークしたメンバーを特定

とある会員制掲示板からの文書の流出に困った運営者が、ユニコードの見えない文字「ゼロ幅文字(Zero-Width characters)」を使って流出させたユーザーを特定した、という話が出ていました。

数年前の話、Tom さんが所属していた競技ビデオゲームのチームでは、ログインが必要なプライベートの掲示板を使って連絡していました。その掲示板に書かれた秘密情報や戦術に関する重大アナウンスなどがしばしば掲示板外のウェブにコピペされ、チームにとって大きな問題となっていたそうです。

外部ユーザーの攻撃で中身が漏れたというよりは、メンバーの誰かがコピーしているのでは、と考えた Tom さんは、当時気になっていたユニコードのゼロ幅文字を使ったトリックを仕掛けたそうです。

ユーザーを特定する情報を、見えない文字に変換して埋め込む

ログイン中のログインユーザーのユーザーIDを、一定のルールによってゼロ幅文字の並びに変換します。そして、この文字列が、掲示板のコメントを表示する際に文章の間に埋め込まれるようにします。

コピー&ペーストされた外部の掲示板等を見ると、目には見えませんがそちらにもこのゼロ幅文字を組み合わせた文字列が含まれているので、そこから逆への変換を適用することで、コピーをしたユーザーのIDがわかる、というわけです。

GitHub 上で公開されたデモコードがこちら。動くデモがこちらです。

1 で入れたユーザー名が入っていないように見える2 のテキストをコピーすると、コピー先の 3 から、元のユーザー名が取り出せていますね。

データ列をASCII文字64個でエンコードすれば Base64 ですが、このデモでは 4種類のゼロ幅文字を使った ZeroWidth4 とでもいうべきエンコーディングですね。

元ブログ記事では、この手法を掲示板に組み込んで新しい情報を流したところ、数時間でコピーされた文章からユーザー名を回復し、流出者を特定できた、と語っています。

この場合はうまくいきましたが、この仕掛けを知った上で無実の他人のユーザーIDに書き換える、といった反撃も考えられるので、ユーザー名をそのまま組み込むとかではなく、改竄があればわかるような形にするのがより良いだろう、とも述べられていました。

自衛ツールの登場など

この記事が広く読まれたので、Chrome拡張が早速登場。ゼロ幅文字を絵文字に変換して表示する拡張で、こういうのを入れておくと何かが埋め込まれているな、というのを見つけられますね。急いで作られたせいか、ユーザーが能動的にクリックしないと絵文字表示されないなど、実用するには今一つですが。

それと、英語のテキストでやってる分には問題ないですが、そもそも役割があって文章中にゼロ幅文字が含まれている言語もあるので、一律に除去したり警告したりするようなツールでは不十分だと言えそうですね。

情報を守る立場からすれば、このような追跡手法をいくつも持って仕掛けておくことは有用でしょう。

逆に、内部告発など悪事を暴く活動として秘密情報をコピーする立場から見れば、このような仕掛けがないかを確認したり、同定されないよう過剰と思われる情報を切り落とすツール等を使うなど、ある程度のリテラシーが必要となってきそうですね。

via reddit

関連

忍者猫(Ninja Cat)絵文字がWindows 10に登場 – 合字用Zero Width文字

Unicodeの空白文字を使ってクリックトラッキング – URLに同様の文字を入れ込む

市販のプリンターは印刷時に追跡用の隠しコードを描き込んでいるものがある

[追記 2018-04-11] 隠し情報をゼロ幅文字エンコードする仕組み – Qiita – Ruby で試してみた方

普通のプリンタと特殊インク/用紙だけで指紋認証を突破する

ミシガン州立大学バイオメトリックス研究グループの Kai Cao 氏と Anil K. Jain 氏が発表した研究成果では、3次元で型を取ったりボンド等で凹凸をつけたりすることなく、市販のプリンターで印字した指紋を使って、スマートフォンの指紋認証が突破できることを示しています。

2d-fingerprint-hack-items

利用するのは、普通の市販のプリンター(今回はブラザー製だそうです)、AgIC社の導電性インク、同じく専用紙。

2d-printed-fingerprints

スキャンした指紋の画像を、このプリンターで印字し、切り取ってスマートフォンの指紋センサーに当てると、Samsung や Huawai の指紋認証対応スマートフォンのロックを解除できてしまったということ。

# なんで一番普及してる iPhone じゃないんでしょうね。iPhone ではあまりうまく再現できなかったのかしら

使われている特殊インクはは、以前に「描いたら回路になるペン」でクラウドファンディングを受けたのと同じ会社のもののようですね。

これまで発表されていた手順は、グミ的な素材で型を取った3Dの指型とか、2Dで印刷した紙の上に木工用ボンドや液体ゴムを盛り付けて作った指型によるものだったそうですが、今回の手法は、誰にでもできるより簡単な手法と言えますね。

via Hacker News

CSVファイルのデータ異常値を感覚的に捕まえるビューワ CSV Fingerprints

Victor Powellさんが提案した CSV Fingerprints (CSVの指紋)は、CSVファイルのデータをデータの有無やデータの型(文字、数字など)に合わせて色づけすることで、日々の事務などで自動生成されているCSV出力の異常な部分を、目視で発見できるようになるのでは、という提案です。

csv-fingerprints-example

カラムのデータの型によって異なる色で塗ったのが上のような例。

図の上でクリックしながらマウスを動かすと、指している辺りが拡大表示され、セルの内容を確認することができます。

csv-fingerprints-2

大きなデータセットの中から、異常になっている部分をすばやく特定し、その前後の値を含めて確認できるというわけです。

csv-fingerprints

こちらのページで、好きなCSVデータを貼り付けてfingerprint を作成してみることができます。

ビューワーはAngular.js および D3.js で作られており、GitHubで公開されています。

CSVを編集するExcelなどのアプリに、こういう可視化ツールがついているといいのかもしれませんね。

via Hacker News