This drone can steal what s on your phone   Mar. 20  2014

パスワードを盗み出す方法が、デバイスと共に進化している件

  • このエントリーをはてなブックマークに追加

by [2014年7月04日]

最近は様々なウェアラブルデバイスが実用化に近づいているが、それとともにパスワードや入力情報を盗みだす方法も進化している。
クレジットカードの番号など個人情報の漏えいを防ぐため、どのように情報が盗み出されるのかを知ることは非常に重要だ。

今回は、個人情報を盗み出す意外な手段を取り上げたい。

Wi-Fiを偽装するドローンで通信を傍受

スマホでWi-Fi接続をOnにすると、過去に接続したことのあるWi-Fiがあれば自動的に接続するようになっているが、この仕組みを利用した通信傍受方法がいま検証されている。
しかもその方法が、ドローンでWi-Fiを偽装して通信を傍受するというのだから驚きだ。

この方法で、最悪の場合はクレジットカードの番号や自分の勤め先が割り出される可能性がある。

出展:CNN Money


現在技術の検証に使われているドローンは、Snoopyという技術を用いて過去に接続したことのあるWi-Fiを探しているデバイスを見つけ、そのWi-Fiに成り済ますことができる。
Snoopyを介して行った通信内容はドローンに全て傍受され、スマホの個体識別番号や位置情報、さらにどんなWebサイトに訪れたのかを盗みだせる。
また、そこからWebサイトに入力したりCookieに保存されているクレジットカードの番号やAmazonのパスワードなども盗み出すことができるという。

更にもう一つ、このドローンによってスマホの持ち主の務め先が盗みだせる可能性もある。
例えば、スマホが”TKG-inc Wi-Fi”のような名前のWi-Fiネットワークを探していた場合、そのスマホの持ち主がどこで働いているかは明白だ。

出展:CNN Money


このように、Wi-Fiの自動接続機能を用いて通信を傍受する技術の研究が行われているが、この研究の目的はデバイスの弱点についての意識を高めてもらうことだ。
このSnoopyという技術は今年の3月にシンガポールで開催されたサイバーセキュリティカンファレンスBlack Hat Asiaで発表された。

iPad上の指の動きから入力情報を盗み出す

最近はiPadをいじっている人を外で見かけることも多くなったが、その画面が太陽光の反射で見えなくとも入力した内容を盗み出せる方法も発見された。

a

上の画像では、Google Glassを使って暗証番号を盗み出している。


これは、タップしている指の影の動きを分析できる動画認識アルゴリズムを用いて、離れたところにいる相手がiPadに入力している情報を入手する、というものである。
斜めから見たiPadの画像を参照イメージに対応させて、iPad上のどこに指があるのかを割り出し、指の影の急な上下の動きを探すのだ。

この研究はマサチューセッツ工科大学で行われており、様々なデバイスで検証されている。
Google Glassでは4桁の暗証番号(PIN)を3mの距離から83%の精度で見極めることができ、iPhoneのカメラでは100%の精度を出すことができた。
更に、パナソニックの工学ズーム機能付き動画カメラを用いた場合は44m離れたiPadに入力された暗証番号の入手にも成功したという。
この技術も、8月に開催されるサイバーセキュリティカンファレンスBlack Hat USAで発表予定だ。

カメラを使って実験

道路を挟んだ建物の4階からカメラを使って暗証番号を盗み出す。


パソコンのキーボードの打鍵音や振動から入力情報を盗み出す

また、最近のスマートフォンの高性能化により、パソコンのキーボードの振動を、近くに置いたスマホで解析して入力情報を入手することも可能になったという。
ジョージア工科大学は、キーボード入力時の振動をスマホの加速度センサーで検出し、80%の精度で入力情報を読み取ることができる技術を開発した。

この技術では続けて入力される2個のキーを一つのペアとして扱い、そのペアがキーボードの左側と右側のどちらにあるのか、互いの位置は近いのか遠いのかを割り出す。
そしてその割り出した結果を、同様に2つの文字ごとに分解して単語を登録した辞書と照合し、入力された可能性の高い単語を確率から判断するというものだ。
ただし、この技術では事前に単語を分解した辞書が必要であるため、造語や意味のない文字列を割り出すことはできない。

加速度センサの使用は、アプリインストール時にアクセス許可が必要ないため、非常にやっかいだ。


まとめ

今回紹介した研究はいずれも、情報端末の抱えるリスクを明らかにし、危機意識を持ってもらうことを目的とした研究だ。

いつどこで自分の情報が漏えいしているか分からない・・・。
あまり恐れすぎていては何もできなくなってしまうが、「インターネットは必ずしも安全ではない」ということを自覚して情報端末を利用することが重要だ。

▼参考リンク
This drone can steal what’s on your phone (CNN Money)
Google Glassで気をつけること:パスワード入力の盗み見にご用心 (WIRED.jp)
スマホの加速度センサーでPC入力情報を傍受 (WIRED.jp)

コメントは受け付けていません。

PageTopへ