タイミング攻撃（読み）タイミングコウゲキ

基本的な概念

• 情報セキュリティの分野で、タイミング攻撃はシステムの処理時間を分析することで秘密情報を推測する手法である。
• タイミング攻撃は、暗号化アルゴリズムの実行時間のわずかな差異を利用して暗号鍵を推測することができる。
• セキュリティ対策としては、タイミング攻撃に対して一貫した処理時間を保つことが重要である。
• 暗号システムがタイミング攻撃に対して脆弱である場合、情報漏洩のリスクが高まる。
• 特にハードウェア実装において、タイミング攻撃は実行時間の微小な差異を検出しやすい。

具体的な攻撃手法

• 攻撃者はターゲットシステムの特定の処理に対して複数回のリクエストを送り、タイミング攻撃を実行する。
• 例えば、RSA暗号に対するタイミング攻撃は、モジュラー乗算の処理時間の違いを利用して秘密鍵を推測する。
• ウェブアプリケーションでは、ログインフォームのレスポンス時間を計測し、タイミング攻撃を行うことが可能である。
• ハッカーはキャッシュメモリのアクセス時間を測定し、タイミング攻撃を通じて機密情報を盗むことができる。
• データベースクエリの応答時間を利用したSQLインジェクションタイミング攻撃も存在する。

防御策と対策

• タイミング攻撃に対する防御策として、処理時間のランダマイズが有効である。
• ソフトウェア開発において、定数時間アルゴリズムを実装することでタイミング攻撃を防止できる。
• クロックジャム技術は、タイミング攻撃を無効化するためにシステムクロックの揺らぎを導入する。
• セキュリティテストの一環として、システムがタイミング攻撃に対して脆弱でないかどうかを確認することが推奨される。
• 暗号ライブラリの設計時には、タイミング攻撃に対する耐性を考慮することが重要である。

実際の被害事例

• 2018年に発覚した大手企業のデータ漏洩事件は、タイミング攻撃を利用して暗号化通信を解読されたことが原因であった。
• 著名なクラウドサービスがタイミング攻撃によりユーザーデータを漏洩し、多額の賠償金を支払う事態となった。
• ある研究機関の報告によると、IoTデバイスがタイミング攻撃を受けて制御を奪われたケースがある。
• 金融機関の取引システムがタイミング攻撃を受け、不正送金が発生した事例が報告されている。
• 政府機関のサーバーがタイミング攻撃により機密情報を盗まれた事件が国際的なニュースとなった。