音の大きなメカニカルキーボードはリスク大
キーボードの打鍵音から“パスワード盗聴”可能。Zoom経由でも精度93%
キーボードの打鍵音から入力文字を読み取り、事実上パスワード等を「盗聴」する手法はかなり以前からある。それらは実験の域を出ていなかったが、最近のディープラーニング技術を用いることで、MacBook Proのキーボード音から92~95%の精度でタイピング内容が盗み出せるという研究成果が発表されている。
キーロガー機器やソフトウェアを被害者のPC等に仕込む、近くに置くなどは、一定の条件が揃わないかぎり困難だろう。だが、この攻撃はZoom通話などビデオ会議や音声通話を介しても実用的(?)なものだという。
この手法は、キーボードの各キーが発する音が異なることに立脚するものだ。さらに注目すべきは、より打鍵音が大きいメカニカルキーボードではなく、非常に静かなMacBook Proのキーボードで実証されたという点だ。メカニカルのままサウンドダンパーを追加したり、メンブレンタイプに変えたりする程度では防止効果があるとは考えにくい、とのことだ。
Bleeping Computerによると、攻撃者はまずターゲットのキーボード音を記録する必要がある。近くにマイクを置くだけでなく、マイクにアクセスできるマルウェアに感染しているスマートフォン(iPhone等)を介しても可能とのこと。
あるいは「Zoom通話を通じて」ということで、一気に現実味が増している。参加者がグループチャットをしながら行うビデオ通話では、十分に「入力したメッセージと録音音声の相関関係を作成する」、つまり打鍵音からの読み取りができるというわけだ。
研究者らは、最新のMacBook Proの36個のキーを25回ずつ押し、それぞれで発生する音を記録することで訓練データを収集したという。過去2年のMacBookは、ほぼ全て改良型のシザーキーボードに移行しており、同じリスクに晒される可能性が高いだろう。
この実験での “盗聴装置” としては、ターゲット(MacBook Pro)から17cm離しておかれたiPhone 13 miniとZoomの2つを使用する。前者の精度は95%だったのに対して、Zoomでキーボードを録音した場合の精度は93%だったとのこと。さらにSkype音声では91.7%と少し落ちたが、それでも十分に脅威となり得ることが証明された。
研究者は、対策としてタイピングスタイルを変えるか、ランダム化されたパスワードを使うことを提案している。しかし根本的な対策は、そもそもビデオ通話中にパスワードなどの機密情報を一切入力しないことかもしれない。
- Source: Bleeping Computer
- via: 9to5Mac