ZoomやSkypeといったビデオ通話を、あまりよく知らない相手と行うのは避けたほうがいいかも知れません。セキュリティ研究者によると、タイピングするときのわずかな腕や方の動きで、パスワードが推測されてしまう可能性があるそうです。
公開動画も攻撃対象となる可能性
テキサス大学サンアントニオ校のモード・サブラ氏、マーツザ・ジャドリワラ氏、そしてオクラホマ大学のアニンドヤ・マイチ氏がまとめた論文「Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Interference Attacks(Zoomでのキーストローク:キーストローク干渉攻撃のためのビデオ通話の悪用)」によると、この攻撃は録画が行われるすべてのビデオ会議に対して仕掛けることが可能だそうです。
つまり、YouTubeなどで公開されている動画やライブストリーミングも攻撃の対象となる可能性があると、3人の研究者は論文で指摘しています。
必要なのはWebカメラと専用プログラムだけ
では攻撃はどのように行われるのでしょうか。
攻撃者に必要なのは、最低でも720p(できれば1080p以上)撮影が可能なWebカメラとコンピュータープログラムだけです。
あとはZoomやSkypeで話している相手の動画を録画しつつ、コンピュータープログラムを使って背景を消します。プログラムは相手の顔を参照点とし、腕や肩の動きを測定します。
Zoomなどをパソコンで利用する際、ほとんどの場合Webカメラはディスプレイの上部中央に位置しています。そのため肩や腕が写り込むケースが多いそうです。
撮影と測定を終えると、プログラムはコマごとに腕と肩の位置の違いを解析します。すると標準的なQWERTYキーボードを使っている場合、どのキーをタイプしているかがほぼ正確にわかるそうです。入力キーが判明したら、プログラムは次に膨大な数の英単語と、パスワードによく使われる文字列のリストと照合、相手が入力したパスワードを割り出します。
よくあるパスワードだと正答率が75%に
ノートPC、Webカメラ、椅子しかない環境で、事前に選択した300ワードの中からランダムに選んだものを入力するという実験を20回行った結果、プログラムは約75%の精度でパスワードを割り出しました。
ただし研究者らがそれぞれの自宅で、自分の好きなパスワードを適当に入力するという実験では、プログラムの正答率はわずか20%程度でした。
しかし一般によく使われる100万個のパスワードのうちのひとつを使っていた場合、正答率は約75%に跳ね上がったそうです。
研究者らは、たとえば攻撃者が、相手のメールアドレスや氏名などを知っていれば、Zoomなどでの会話中に相手がそれを入力すれば90%以上の確率でわかるため、「次に入力するのはパスワードだろう」と推測できてしまう、と警告しています。
Zoomなどでのパスワード漏洩を防ぐには
ではどうすればパスワードなどの情報が盗まれるのを防げるのでしょうか。研究者らはいくつかのアドバイスをしています。
- 長袖を着る。ノースリーブよりも、長袖のほうが腕や肩の動きがわかりにくい。
- 肩にかかるものを身につける。髪が肩に触れていると、プログラムが正しく解析できない。ヘッドホンを肩にかける、またはスカーフを巻くのも効果的。
- タッチタイピングを身につける。10本の指を動かすタッチタイピングだと、キーの判別がしにくい。
- キャスター付きの椅子に座る。身体全体が動いていると、肩や腕の動きが検出しにくい。
- 照明を暗くする。
- 自分のWebカメラの解像度を落とす(ただしこの場合、画像が見えにくいという別の問題が生じる)。
Source:論文(PDF) via Tom’s Guide
Photo:Zoom
(lunatic)
- Original:https://iphone-mania.jp/news-327297/
- Source:iPhone Mania
- Author:iPhone Mania