「スマホのセンサーデータ」からパスワードが解読されてしまう恐れ 英大学が論文で指摘:「最初の推測で、4桁のPINならば70%の精度で割り出せる」
「サイバー犯罪者がスマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が米ニューカッスル大学のグループによって発表された。これはどういうことか。ESETがその概要を解説した。
「サイバー犯罪者が、スマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が、英ニューカッスル大学のグループによって発表された。これはどういうことか。スロバキアのセキュリティ企業 ESETが2017年4月11日(現地時間)、公式ブログでその概要を解説した。以下、内容を抄訳する。
「スマートフォンの内部センサーは、ユーザーのPIN(暗証番号)やパスワードを推測するのに十分な情報をサイバー犯罪者に提供してしまうかもしれない」──。英ニューカッスル大学が2017年4月11日に発表した同大学の研究者グループによる新しい研究結果は、この可能性を示唆している。
発表によると、研究者グループは、PINやパスワードを比較的簡単な方法で解読できることを発見したという。テストの結果「サイバー犯罪者は、スマートフォンが出力する多くの内部センサーから集めたデータを使い、最初の推測で4桁のPINを70%の精度で割り出せる」というのだ。内部センサーから集めたデータから、ユーザーが情報を入力するときの端末の傾け方などを分析できる。それをPINなどの推測に利用するという仕組みのようだ。
この研究結果をまとめた論文は、2017年4月11日付けで「International Journal of Information Security」で発表された。著者らはこうしたセンサーデータの危険性について、「厄介な問題だ。多くの人は、スマートフォンのセンサーに関連するセキュリティリスクを認識していないからだ」と述べている。併せて、「ユーザーはスマートフォンのセンサーが実際に果たす機能をほとんど理解していない傾向がある」と論文で指摘した。
スマートフォンには多種多様のセンサーが搭載され、例えば、GPS、カメラ、マイク、NFC、ジャイロセンサーなどと関連している。昨今のモバイルデバイスには、多い機種では約25種類ものセンサーが搭載されているという。
「モバイルアプリやWebサイトは、(機能単位、アプリ単位でのオン/オフ設定があるにせよ)基本的には許可を求めることなく大半のセンサーにアクセスできる。このため、悪意あるプログラムがセンサーデータをこっそり”リッスン”することも可能だ」と、ニューカッスル大学コンピュータサイエンス学部のリサーチフェローで、同論文の主著者を務めたマリヤム・マーネズハド氏は述べている。
「サイバー犯罪者はセンサーデータを使って、ユーザーのさまざまな機密情報を特定できる可能性がある。その中には、電話をするタイミングや身体活動、さらにはタッチ操作、PIN、パスワードが含まれる」(マーネズハド氏)
機密情報の特定につながるセンサーデータが流出する恐れがあるのは、スマートフォンやタブレットだけではない。ネットワークに接続されるセンサー搭載モバイルデバイス、例えば活動量計などにも同様の危険があるという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「GitHubを使うプログラマー」を狙ったマルウェア攻撃が発生 コードを秘密裏に改ざんされる可能性
GitHubを使うオープンソースプログラマーをターゲットにした標的型攻撃が発生している。コードをこっそり改ざんされる可能性もあるという。 - コネクテッドカーのハッキングは「誰」に責任があるのだろうか
コネクテッドカーにおけるセキュリティ対策の現状とは。セキュリティ企業 ESETの研究者が現状を解説しつつ、課題を投げかけた。 - フェイスブックのザッカーバーグCEOは、なぜMacBookのカメラにテープを貼っていたのか
「Webカメラのセキュリティ」を甘く考えると、どんなリスクがあるか。セキュリティ企業のESETが自社のブログで注意を呼び掛けた。 - Minecraftの「偽Mod」に注意 何が危ないのか
Google Playで、87個ものMinecraft用「偽Mod」が見つかった。インストールすると、迷惑広告を表示されたり、詐欺サイトに誘導されたりする。