Chrome向けのゼロ幅文字チェッカー拡張が登場

「ゼロ幅文字」による追跡攻撃を検出する、Google Chrome拡張が登場

www.bleepingcomputer.com

Marco Chiappetta氏は、Chrome向けに「Replace zero-width characters with emojis」という拡張を公開しました。ゼロ幅文字を絵文字に置き換える機能をもので、セキュリティ研究者Tom Ross氏の記事を読んで思いついたそうです。

chrome.google.com

ゼロ幅文字(ゼロ幅スペース0x200bなど)は人の目には見えませんが、データとしてはそこに存在します。例えば2種類のゼロ幅文字を0と1とみなして、ユーザ名文字列のビット表現にするとか、もっと単純にIDとすれば、適当な数(IDなら32個(32bit符号なし整数)か、せいぜい64個もあれば通常は十分でしょう)のゼロ幅文字で「見えないユーザ識別子」を表現できます。

たとえば、文章中にこれを入れておけば、「本来秘匿すべき情報を漏らしたのは誰か」が、(コピペした場合は)特定できることになります。簡易型の電子透かしですね。アイデア元の記事では、ゲームに関する隠しておきたい情報が洩れていた時に漏洩元の特定に使われたようです。

なお、ゼロ幅文字は本来はちゃんとした意味(例えばゼロ幅空白なら改行位置の制御)がある文字であり、それを置き換えることで本来の文章が適切に表示されなくなる可能性もありますので、この拡張を使う場合は、そこを意識する必要があります。

チートなど、一部の人が飛びつきそうな情報の肝心な部分(パスコードなど)にゼロ幅文字を入れて公開したら、誰がそれを使ったか一発で分かるかもしれませんね。