超音波を使ったスマートフォン攻撃を実証、ワシントン大学など：「無音」なのにSiriがコマンドを実行

ワシントン大学などの研究チームが、超音波を使ったスマートフォンへの攻撃手法を実証した。耳には聞こえない超音波が机など、さまざまな物体の表面を伝わり、スマートフォンの音声認識システムを起動できることが一つ。もう一つは安価なハードウェアと組み合わせることで、制御に成功したスマートフォンの音声応答を聞くことだ。

　ワシントン大学セントルイス校とミシガン州立大学、ネブラスカリンカーン大学、中国科学院の研究者のチームが超音波を用いたスマートフォンへの攻撃手法を実証した。

　超音波がさまざまな物体の表面を伝わり、スマートフォンの音声認識システムを起動できることを実験で確認した。写真撮影も可能だった。さらに安価なハードウェアを組み合わせることで、起動したスマートフォンの応答を聞くこと、さらには通話することもできた。

ワシントン大学で助教授を務めるニン・チャン氏

　超音波を利用したこれまでの攻撃手法は限られており、単一のコマンドを送信できる程度にとどまっていた。

　ワシントン大学マッケルビー工学部コンピュータサイエンス・エンジニアリング学科のニン・チャン助教授は、「超音波攻撃の脅威について意識を喚起したかった」と、研究の狙いを語った。

どのような攻撃なのか

　研究チームは、スマートフォンを置いたテーブルの背面から、超音波による“音声”コマンドをスマートフォンに送信できた。攻撃対象のスマートフォンが見えている必要はなく、スマートフォンと攻撃デバイスが近い必要もない。

　さらにひそかに設置したマイクを介して、スマートフォンから情報を引き出すことができた。研究チームの論文では、こうした超音波攻撃を「サーフィン攻撃」と呼んでいる。

　実験で用いた超音波は、人間の耳には聞こえない高い周波数の音波。スマートフォンはこうした高い音波を検知できる。「信号の扱い方を理解すれば、スマートフォンが音波入力を解釈するタイミングなどを操作できる。こうして、ユーザーがコマンドを話し掛けていると、スマートフォンに認識させることができた」（チャン氏）

実験の内容は？

　物体の表面を伝わる超音波で“コマンド”を送信できるかどうか、どうやって実験すればよいのだろうか。

　まず、スマートフォンの持ち主からは見えない場所としてテーブルの裏に電気信号を超音波に変換する圧電トランスデューサー（PZT）を取り付けた。これが信号を発信する。約5ドルと安価な部品だ。次にマイクを取り付けた。スマートフォンの制御に成功した後、音声の形で情報を引き出すためだ。

　実験を背後で支えるのが、任意の信号を生成可能な一般的な波形生成器だ。この装置はいくぶん高価だが、固体材料における音響伝送の特性を活用するには不可欠だという。

　研究チームが試みた実験は大きく2つある。一つは、SMSにテキストで送られてきたパスワードを取得する実験だ。もう一つは、偽の通話を行う実験である。

　1つ目の実験では、仮想アシスタントに対する一般的なコマンド、つまり「メッセージを読んで」というコマンドを利用した。二要素認証を使った本人確認では、例えば金融機関が6桁の数字などのワンタイムパスワードをユーザーのスマートフォンに送信することがある。この認証プロセスの途中に実験を挟み込んだ。

　攻撃を試みる際、まず音声アシスタントに対して、音量をレベル3に下げるよう指示した。攻撃していることを悟られないためだ。図書館内に相当する静かな雑音レベル（40デシベル）のオフィス環境で実験を行ったものの、ユーザーは、スマートフォンの意図しない応答には気付かなかった。65デシベル程度の環境が珍しくないレストランでは攻撃がより露見しにくくなる。

　続いて、金融機関からワンタイムパスワードが到着すると、攻撃デバイスが「メッセージを読んで」というコマンドをスマートフォンに送信した。その結果、スマートフォンからの応答（6桁の数字）をテーブル裏のマイクで拾うことができた。

　もう一つのテストも成功した。やはり音声をレベル3に下げた後、攻撃デバイスが「サムにスピーカーフォンで通話」というメッセージを送り、通話できるかどうか試した。電話はつながり、テーブル裏のマイクを介して、サムと通話できた。実験では携帯電話の持ち主であるアリスの声を合成して用い、サムから実験室のアクセスコードを聞き出すことができた。本人の携帯電話から本人の声で電話がかかってくるため、詐欺電話として危険な攻撃だ。

　なお、圧電トランスデューサーが放つ超音波には指向性がないため、これらの攻撃は同時に複数のスマートフォンに影響した。

どのスマートフォンの機種で攻撃が成功したのか