ニュース
» 2017年04月13日 10時00分 UPDATE

「最初の推測で、4桁のPINならば70%の精度で割り出せる」:「スマホのセンサーデータ」からパスワードが解読されてしまう恐れ 英大学が論文で指摘

「サイバー犯罪者がスマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が米ニューカッスル大学のグループによって発表された。これはどういうことか。ESETがその概要を解説した。

[@IT]

 「サイバー犯罪者が、スマートフォンのセンサーデータを使ってPINやパスワードを解読する恐れがある」との研究結果が、英ニューカッスル大学のグループによって発表された。これはどういうことか。スロバキアのセキュリティ企業 ESETが2017年4月11日(現地時間)、公式ブログでその概要を解説した。以下、内容を抄訳する。

 「スマートフォンの内部センサーは、ユーザーのPIN(暗証番号)やパスワードを推測するのに十分な情報をサイバー犯罪者に提供してしまうかもしれない」──。英ニューカッスル大学が2017年4月11日に発表した同大学の研究者グループによる新しい研究結果は、この可能性を示唆している。

 発表によると、研究者グループは、PINやパスワードを比較的簡単な方法で解読できることを発見したという。テストの結果「サイバー犯罪者は、スマートフォンが出力する多くの内部センサーから集めたデータを使い、最初の推測で4桁のPINを70%の精度で割り出せる」というのだ。内部センサーから集めたデータから、ユーザーが情報を入力するときの端末の傾け方などを分析できる。それをPINなどの推測に利用するという仕組みのようだ。

 この研究結果をまとめた論文は、2017年4月11日付けで「International Journal of Information Security」で発表された。著者らはこうしたセンサーデータの危険性について、「厄介な問題だ。多くの人は、スマートフォンのセンサーに関連するセキュリティリスクを認識していないからだ」と述べている。併せて、「ユーザーはスマートフォンのセンサーが実際に果たす機能をほとんど理解していない傾向がある」と論文で指摘した。

 スマートフォンには多種多様のセンサーが搭載され、例えば、GPS、カメラ、マイク、NFC、ジャイロセンサーなどと関連している。昨今のモバイルデバイスには、多い機種では約25種類ものセンサーが搭載されているという。

 「モバイルアプリやWebサイトは、(機能単位、アプリ単位でのオン/オフ設定があるにせよ)基本的には許可を求めることなく大半のセンサーにアクセスできる。このため、悪意あるプログラムがセンサーデータをこっそり”リッスン”することも可能だ」と、ニューカッスル大学コンピュータサイエンス学部のリサーチフェローで、同論文の主著者を務めたマリヤム・マーネズハド氏は述べている。

 「サイバー犯罪者はセンサーデータを使って、ユーザーのさまざまな機密情報を特定できる可能性がある。その中には、電話をするタイミングや身体活動、さらにはタッチ操作、PIN、パスワードが含まれる」(マーネズハド氏)

photo スマホには機能向上や生活を豊かにするためのさまざまなセンサーが内蔵されているが……

 機密情報の特定につながるセンサーデータが流出する恐れがあるのは、スマートフォンやタブレットだけではない。ネットワークに接続されるセンサー搭載モバイルデバイス、例えば活動量計などにも同様の危険があるという。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。