赤外線カメラとAIでパスワードを盗み出すことが可能との論文が発表される

データのセキュリティを守ろうとする安全対策と、それを破ろうとするハッキング手法の発達はいたちごっこで、これまでにPCから発せられる音や電磁波、熱を使ってデータを盗み出す方法が編み出されています。さらに、イギリスの研究者によって、赤外線カメラと機械学習を使ってキーボードで入力した内容を盗み出すことができることが確かめられました。

ThermoSecure: Investigating the Effectiveness of AI-Driven Thermal Attacks on Commonly Used Computer Keyboards | ACM Transactions on Privacy and Security
https://doi.org/10.1145/3563693

University of Glasgow - University news - AI-driven ‘thermal attack’ system reveals passwords in seconds
https://www.gla.ac.uk/news/headline_885914_en.html

Thermal Cameras and Machine Learning Combine to Snoop Out Passwords | Tom's Hardware
https://www.tomshardware.com/news/thermal-cameras-and-machine-learning-combine-to-snoop-out-passwords

イギリス・グラスゴー大学の研究者チームが発表した熱とAIによるハッキング技術「ThermoSecure」の基本的な原理は、キーボードを赤外線カメラで撮影し、打鍵により伝わった指の熱からキー入力を推測するというもの。

by University of Glasgow

これにより、6文字のパスワードを平均92％、8文字なら80％、12文字なら71％、16文字でも55％の精度で盗み出すことが可能。入力から1分が経過した後も平均62％の精度で読み取れたほか、入力から20秒以内かつ6文字という条件なら精度は100％にまで達しました。

by University of Glasgow

研究チームによると、キーボードの撮影に必要な赤外線カメラなど機材一式は150ドル(約2万円)前後で調達できるとのこと。AIソフトウェアの面では、ディープラーニングによる物体検出技術であるMask RCNNでキー入力が検出され、アルゴリズムによって打鍵の順序が決定されています。

研究により、ThermoSecureを防ぐ手だても考案されています。研究チームは、「キーボードを見ながら人差し指入力するユーザーは、熱によるハッキングに対して弱いです」と指摘しており、これとは逆に長いパスワードを素早く入力することで、キー入力の推測を困難にできると考えられます。

また、ABS樹脂の方がPBT樹脂より長く熱を保持するので、指の熱が残りにくいPBT樹脂製のキーボードを選択することで推測の精度を落とすことができるとのこと。また、発熱するバックライト付きのキーボードを使用するという手もあるほか、IDとパスワードを入力した後少なくとも1分間はキーボードの前から動かないようにすることでキーボードを赤外線カメラで撮影されることを防げます。

by University of Glasgow

研究論文を取り上げたIT系ニュースサイト・Tom's Hardwareは、「このようなサーマルアタックは、ユーザーがキーボードから離れて数十秒経過しても驚くほど高い精度を誇っています。とはいえ、用心するに越したことはないものの、他にも多くのスキミング技術が出回っているのも確かです。このようなパスワードや暗証番号の推測技術に対する最善策は、生体認証や多要素認証の導入です。また、パスワードを入力した直後はノートPCやスマートフォンを放置しないようにして、デバイスへの不正アクセスを防ぐのも攻撃の阻止に有効です」と述べました。