新たな脆弱性が見つかった。それはキーボードをタイプする時の音だ。
カリフォルニア大学バークレー校(UCB)の研究者によると、キーをタイプする際に出る音を録音し、各キーから出る音の違いを分析して、入力された文字を割り出すことが可能だという。また、一般ユーザーは毎分300文字程度しか入力しないため、ユーザーがキーを叩いている間も、個々の音を分離するための十分な時間がとれるという。
UCBの研究者らは、ユーザーがキーボードをタイプしているところを録音した10分ほどのサンプルをいくつか用意した。そして、あるアルゴリズムを使って分析した結果、入力された文字の最大96%を再現することができたという。
このテクニックは、周囲で音楽が流れていたり、携帯電話の呼び出し音が鳴っていても、問題なく使えた。また、ごくふつうの録音用機器を使って、いわゆる「静音型」キーボードの音を録音した実験でも機能した。
このテクニックを使われると、どんな書類を作成していても、内容を割り出されてしまうが、UCBのコンピュータ科学/情報管理学教授でこの研究の責任者を務めたDoug Tygarは、この実験はあくまでパスワードのもろさを浮き彫りにするためのものだと述べている。
「認証の仕組みとしてのパスワードには絶対に見直しが必要だ。この攻撃方法は難解なものではない。多少はコンピュータ科学の知識が必要だが、どこにでもある部品を使ってできてしまう。実験に使ったマイクは10ドルのものだった」(Tygar)
今回の実験は、IBMのDmitri AsonovとRakesh Agrawalが行った研究に基づいたものだ。両氏は、キーボードから出る音を録音し、そこからタイプ入力したテキストの80%を再現する様子を公表した。ただし、これらの実験は緻密な管理下で行われたものだった。
なお、UCBによる実験の結果は、11月10日にバージニア州アレキサンドリアで開催されるAssociation for Computing Machinery Conferenceで発表される。
コメント: こういう奴がいるから詐欺はやめられないんでしょうな 兵庫県警明石署は7日、私立大学4年の男子学生(22)=同県明石市=が先月14日~今月7日、携帯電話の有料サイトを装った架空請求で約90回、計1690万円をだまし取られたと発表した。学生は言われるがまま、自分の貯金のほか、父親が経営する会社の金庫から運転資金を勝手に取り出して充てていた。同署は詐欺事件として捜査している。 同署によると、先月13日、学生の携帯電話に「有料サイトの未払い金が発生している。未払いの場合は裁判になる」などのメールが届いた。学生はメールにあった番号に電話したところ、男が「振り込んでほしい」などと要求、指定した口座に2万~3万円を振り込んだという。その後、男から繰り返し「新しい未払いが判明した」などと電話がかかり、学生はその度に現金を振り込んだという。一度に振り込んだ金額は最高で約150万円という。 学生は貯金を取り崩して約500万円を払ったが底をつき、自宅にあった父親の会社の金庫から約1190万円を支払った。父親が7日、金庫に現金がないことに気付いて発覚、同署に届け出た。学生はゲームの代金だと思ったといい、請求が多額に上ることを特に不審に思わなかったという。
Comments