PCの「キー入力」をスマホで傍受する手法を発見、米SMU大:キー入力の内容を検知
米国サザンメソジスト大学(SMU)の研究チームは、PCでキーボードをタイプしたときに発生する振動をスマートフォンで拾い上げ、どのキーをタイプしたか、タイプした内容は何かを検知することに成功した。現実と似た騒々しい会議室であっても情報を取得できたという。
米国サザンメソジスト大学(SMU)ダーウィン・ディーソン・サイバーセキュリティ研究所の研究チームは、PCのキーボードをタイプしたときに発生する振動を、スマートフォンで拾い上げることで、思わぬ情報が漏えいする可能性があることを発見した。
スマートフォンが傍受した振動を解析することで、どのキーをタイプしたかが分かり、その結果タイプした内容を推定できるという。
騒々しい会議室でも41%のキー入力を判別
研究チームは、複数人によるキーボードのタイプ音や会話が聞こえるいくぶん騒々しい会議室で、一般的なキーボードとスマートフォンを使って実験を進めた。その結果、タイプした内容の多くを判別できた。同大学のBobby B. Lyle School of Engineeringで助教授を務めるEric Larson氏によれば、精度は41%とかなり高い。
長い文章の内容を正確に再現することはできないが、キー入力している人物についての情報を集めるには問題のない数値であり、さらにパスワード文字列の一部が分かるだけでもサイバー攻撃がたやすくなるのだという。
実験では、現実的な状況を再現するために、会議室に数人が座って会話したり、ノートPCでメモを取ったりする環境を用意した。ノートPCを置いたテーブルには8台のスマートフォンを置いた。これらのスマートフォンは、ノートPCから8cm(3インチ)〜2m(数フィート)離れていた。
実験参加者は会話する際、台本に従って話していたわけではない。会話しながらノートPCでメモを取る際にも、規則を設けていない。全文をタイプしても、一部を省略してもよかった。タイプミスが起きたとき、修正しても、そのままにしておいてもよかった。つまり現実に即したテストだったということだ。
「われわれは、常時機能しているセンシングデバイスであるスマートフォンにどのようなセキュリティホールが存在するのかを調べたかった。そこでノートPCでタイプした内容が、同じテーブルに置かれたスマートフォンで検知できるかどうかを調査した」(Larson氏)
スマートフォンは「音」を聴いていたわけではない
キー入力を検知する仕組みはどのようなものだったのだろうか。研究者は次のように説明している。
「スマートフォンにはさまざまなセンサーが搭載されており、筐体の向きや、位置を判定できる。テーブルの上に置かれているのか、誰かのポケットに入っているのかが分かるのだ。一部のセンサーは、ユーザーが意識的にオンにしなければ機能しないが、多くのセンサーは常時オンになっている。われわれは常時オンになっているセンサーのみを使った。センサーの出力を処理し、どのキーが押されたかを推測するソフトウェアを新規に開発し、タイプの内容が分かるようにした」
センサーのうち、特に加速度計がキー入力による振動を捉える役に立ったのだという。
誰でも再現できる攻撃ではないが、攻撃の痕跡が残らない
今回の手法でキー入力の内容を正しく判別するには、条件があるという。テーブルの材質などをあらかじめ知っていなければならない。テーブルの材質によって、タイプしたときに発生する振動が異なるからだ。
実際に情報を窃取する場合は、テーブルに複数台のスマートフォンがあることを知り、それらのスマートフォンでサンプリングを行う方法も理解している必要があるという。
このように、攻撃者が常にキー入力情報を盗み出すことができるわけではないが、もし成功した場合は、非常に恐ろしい事態になる恐れがあると、研究者は指摘する。今回の技術を用いたハッキングが行われていても、それを知るすべがないからだ。
同大学のBobby B. Lyle School of Engineeringで教授を務めるMitch Thronton氏によれば、攻撃に必要な時間は短い。何をタイプしたかという情報を、ほんの数秒で取得できる可能性がある。
「われわれが発見した内容を考えると、スマートフォンメーカーは、センサーにアクセスされてしまう危険性を下げるよう設計を改善する必要がある」(Thronton氏)
今回の研究成果をまとめた論文は、『Interactive, Mobile, Wearable and Ubiquitous Technologies』の2019年6月号で発表された。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「音」と「振動」で分かるモノやヒトの状態、安価に実現する2つの手法
カーネギーメロン大学の研究チームは、周囲で何が起こっているかを音や振動状態から認識できる安価な2つの手法を開発した。これらの手法を用いると、モノやヒトの状態が分かるだけでなく、モノを入力デバイスとして利用できるという。
GPUに対するサイドチャネル攻撃で「パスワードが盗まれる」、カリフォルニア大の研究チームが実証
カリフォルニア大学リバーサイド校の研究チームはPC上のGPUから情報を得ることでWeb閲覧の監視やパスワードの窃盗、機械学習のニューラルネットワーク構造を盗む攻撃を容易に実行できることを発見した。
音がHDDを損傷させる――PCをクラッシュさせる音響攻撃の危険をセキュリティ研究者が警告
ミシガン大学と浙江大学のセキュリティ研究者が、音波でHDDを物理的に損傷させる攻撃手法を公開した。