Sponsored Contents

securityの最新記事

Image credit:
Save

キーボードに残った体温からパスワードを推定可能。米大学が論文発表

スパイ映画の世界

山本竜也(Tatsuya Yamamoto)
2018年7月10日, 午後05:00 in security
1614シェア
505
1015
0
94

連載

注目記事


キーボードでパスワードを入力したあと、温度を可視化できるサーマルカメラで撮影し、入力されたキーを推定する。そんな映画さながらの攻撃手段が実際に利用可能であると示す論文をカリフォルニア大学アーバイン校(UCI)が発表しました。

Thermanatorと名づけられたこの攻撃、方法としてはとても簡単で、パスワードが入力されたキーボードをサーマルカメラで撮影。キーボードに残った体温からパスワードに使われたキーを推定するというもの。

最初のキーが押されてから30秒以内であれば、押されたキーのすべてが判別可能。1分以内だと一部のみが取得できたとのこと。


▲「passw0rd」と打った際の0秒(左上)、15秒(右上)、30秒(左下)、45秒(右下)後の画像


また、ホームポジションに指を置きタッチタイピングを行った場合、指が常にキーに触れている状態になるため、キーを一つずつ探しながら打つよりも、パスワードの推測が難しくなるとしています。


▲ホームポジションに手を置き、タッチタイプで「iloveyou」と打ったところ。「ASDF」「JKL;」に指が触れているため推定が難しい

今回の論文はあくまでも実証実験。実際にこれを攻撃手段として使おうとした場合、被害者がパスワードを入力した直後、他のキーを触る前にキーボードをサーマルカメラで撮影しなければならず、実現性は乏しそうです。念のために防止策を考えるなら、パスワードの入力前後に適当にキーに触れておくという方法が有効かもしれません。

ただ、パソコンのキーボード撮影は難しくても、ATMや建物の出入り口にある10キーならば話は別。実際、2011年には、ATMの10キーをサーマルカメラで撮影し、暗証番号を推測するという検証も行われています。この時は、入力直後に撮影できれば4桁の暗証番号の順番まで推測可能でした。

しかし当時はサーマルカメラの価格が高かったため、費用対効果が見合わなかったとのこと。

ところが最近では、サーマルカメラがスマートフォンの外付けオプションになったり、直接搭載されたりしており、以前よりも身近なものになりつつあります。これらの精度が向上していくなら、近いうちに現実的な脅威となるかもしれません。


液晶式の10キーの中には、毎回ランダムに配列が変わり、押した箇所の特定を妨げる物も増えていますが、そのようなタイプは今回のThermanatorにも有効そうです。そうではない、昔ながらの10キーの場合は、キーボードと同様に入力後に全てのキーに触れておくと被害は防げるかもしれません。

1614シェア
505
1015
0
94

Sponsored Contents