「スマホのセンサーデータ」からパスワードが解読されてしまう恐れ 英大学が論文で指摘：「最初の推測で、4桁のPINならば70％の精度で割り出せる」

「サイバー犯罪者がスマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が米ニューカッスル大学のグループによって発表された。これはどういうことか。ESETがその概要を解説した。

[＠IT]

　「サイバー犯罪者が、スマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が、英ニューカッスル大学のグループによって発表された。これはどういうことか。スロバキアのセキュリティ企業 ESETが2017年4月11日（現地時間）、公式ブログでその概要を解説した。以下、内容を抄訳する。

ニューカッスル大学のプレスリリース

　「スマートフォンの内部センサーは、ユーザーのPIN（暗証番号）やパスワードを推測するのに十分な情報をサイバー犯罪者に提供してしまうかもしれない」──。英ニューカッスル大学が2017年4月11日に発表した同大学の研究者グループによる新しい研究結果は、この可能性を示唆している。

　発表によると、研究者グループは、PINやパスワードを比較的簡単な方法で解読できることを発見したという。テストの結果「サイバー犯罪者は、スマートフォンが出力する多くの内部センサーから集めたデータを使い、最初の推測で4桁のPINを70％の精度で割り出せる」というのだ。内部センサーから集めたデータから、ユーザーが情報を入力するときの端末の傾け方などを分析できる。それをPINなどの推測に利用するという仕組みのようだ。

　この研究結果をまとめた論文は、2017年4月11日付けで「International Journal of Information Security」で発表された。著者らはこうしたセンサーデータの危険性について、「厄介な問題だ。多くの人は、スマートフォンのセンサーに関連するセキュリティリスクを認識していないからだ」と述べている。併せて、「ユーザーはスマートフォンのセンサーが実際に果たす機能をほとんど理解していない傾向がある」と論文で指摘した。

Are your sensors spying on you?（Newcastle University）

　スマートフォンには多種多様のセンサーが搭載され、例えば、GPS、カメラ、マイク、NFC、ジャイロセンサーなどと関連している。昨今のモバイルデバイスには、多い機種では約25種類ものセンサーが搭載されているという。

　「モバイルアプリやWebサイトは、（機能単位、アプリ単位でのオン／オフ設定があるにせよ）基本的には許可を求めることなく大半のセンサーにアクセスできる。このため、悪意あるプログラムがセンサーデータをこっそり”リッスン”することも可能だ」と、ニューカッスル大学コンピュータサイエンス学部のリサーチフェローで、同論文の主著者を務めたマリヤム・マーネズハド氏は述べている。

　「サイバー犯罪者はセンサーデータを使って、ユーザーのさまざまな機密情報を特定できる可能性がある。その中には、電話をするタイミングや身体活動、さらにはタッチ操作、PIN、パスワードが含まれる」（マーネズハド氏）

スマホには機能向上や生活を豊かにするためのさまざまなセンサーが内蔵されているが……

　機密情報の特定につながるセンサーデータが流出する恐れがあるのは、スマートフォンやタブレットだけではない。ネットワークに接続されるセンサー搭載モバイルデバイス、例えば活動量計などにも同様の危険があるという。