モバイル セキュリティの名折れ


By Armando Orozco

バスや電車などで iPhone でパスワードを入力するときは注意してください。だれかがあなたの肩越しにパスワードをのぞき見ているかもしれません。実際に、ノース カロライナ大学の研究者チームがあるシステムを開発しました。そのシステムは、人がスマートフォンで文字を入力するのを撮影し、その映像を分析して、入力内容をきわめて正確に推測するというものです。

キー ロガー (キー入力監視プログラム) と言うと、普通は、コンピューター上でひそかにキー入力を監視するマルウェアが思い浮かびます。ところが、同大学の研究者チームは、キー入力の監視に対してまったく異なるアプローチを用いています。コンピューターにソフトウェアを忍ばせるのではなく、人がスマートフォンに入力する文字を監視するという方法です。その方法は、直接 (持ち主の肩越しに、または横から) 携帯電話の画面を撮影するか、持ち主の眼鏡に映る携帯電話の画面の文字を読み取るだけ、というものです。

同大学の研究者チームは、携帯電話に付いているカメラを使ってスマートフォンの画面を調べるメカニズムを開発しました。携帯電話のカメラで、人が “ソフト” キーボード (Apple の iPhone で使われているもの) で入力する様子を撮影します。ソフト キーボードでは通常 “飛び出す” アニメーションが使われていて、利用者が正しい文字を選んだことを確認できるように、キーを押したときに文字が大きく表示されるようになっています。この “飛び出す” アニメーションによって、どのキーが押されたかが映像で簡単に確認できてしまうのです。

携帯電話のカメラはここ数年で画質が飛躍的に向上し、映り込んだキーボードの画像を撮影することなどいとも簡単にできます。もちろん、スマートフォンにも同様のカメラが埋め込まれていますし、望めばもっと専門的なカメラを買うこともできます。

研究者チームのメカニズムでは、まずビデオ映像の中のスマートフォンを特定し、その動きを追えるようにします。次に、映像内のスマートフォンの画像と参照用の画像を比較し、スマートフォンの機能と参照画像上の機能とを対応させて、歪み (特に、へこんだサングラスにスマートフォンの画面が映り込む場合など) を補正します。これによって、十分に安定したスマートフォンの画像が映像内に作成されて、ソフト キーボードでのキー入力が自動プロセスで検出され、対応する入力位置からどのキーが押されたかが割り出されます。

その後、このキーボード探知の手法では、データを言語解析システムにかけて、ビデオから推測される入力内容を辞書モデルと照合し、実際に入力された内容を導き出します。結果は驚くほど正確であり、高得点 (またはそれ以上) をおさめました。テストはすべて基準点以上をマークし、導き出された結果は理解できる内容だったのです。

ですから、このシステムが使われたら、皆さんがスマートフォンで入力したパスワードが盗まれてしまうのです。しかし、パスワードが手の込んだでたらめな文字列だったとしたら、どうでしょうか。単一文字の認識でも (辞書にありそうな言葉を見つけるための解析システムにかけなくても)、非常に正確な結果が導き出されました。研究者チームのテストでは、でたらめな文字列のパスワードでも、その半分以上が認識されました。

このことはどのような意味を持つのでしょうか。この研究は理論上の話です。現実には、バスや電車でパスワードを入力しても、そのスマートフォンの画面の映り込みを撮影しようとする人がいる可能性は低いでしょう。そうは言っても、この研究によって、セキュリティの弱点を悪用されると、モバイルのシステムも安全ではなくなってしまうことが示されました。他のことはともかく、これは人間の創造力に関する面白い洞察です。研究論文はこちらで読むことができます。

wordpress blog stats