BLOGTIMES
2022/02/26

伏せ字をモザイクにするのは危険?

  informationleakage  PoC 
このエントリーをはてなブックマークに追加

伏せ字のために画像にモザイクをかけている場合がよくありますが、モザイクの内容がどの程度推測可能なのかについて Bishop Fox というセキュリティ会社が警鐘を鳴らしていたのでメモ。

具体的にどの程度推測可能なのかについては、 Unredacter という PoC を GitHub で公開しています。
実際に試してみるとモザイク化前の文字列が英文の場合は結構な精度で特定されてしまいます文字列の伏せ字はモザイク化ではなく、黒塗り(もしくは、白塗り)にすべきですね。

Never Use Text Pixelation To Redact Sensitive Information | Bishop Fox

Today, we’re focusing on one such technique – pixelation – and will show you why it’s a no-good, bad, insecure, surefire way to get your sensitive data leaked. To show you why, I wrote a tool called Unredacter that takes redacted pixelized text and reverses it back into its unredacted form. There’s plenty of real-world examples of this in the wild to redact sensitive information, but I won’t name names here. Watch my video for a quick recap of the importance of NEVER using pixelation to redact text, as well as how I unredact Jumpseclabs's Challenge in real-time.


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/13075
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン