キーボードに残った体温からパスワードを推定可能。米大学が論文発表

eng-logo-2015キーボードでパスワードを入力したあと、温度を可視化できるサーマルカメラで撮影し、入力されたキーを推定する。そんな映画さながらの攻撃手段が実際に利用可能であると示す論文をカリフォルニア大学アーバイン校(UCI)が発表しました。

Thermanatorと名づけられたこの攻撃、方法としてはとても簡単で、パスワードが入力されたキーボードをサーマルカメラで撮影。キーボードに残った体温からパスワードに使われたキーを推定するというもの。

最初のキーが押されてから30秒以内であれば、押されたキーのすべてが判別可能。1分以内だと一部のみが取得できたとのこと。

「passw0rd」と打った際の0秒(左上)、15秒(右上)、30秒(左下)、45秒(右下)後の画像

また、ホームポジションに指を置きタッチタイピングを行った場合、指が常にキーに触れている状態になるため、キーを一つずつ探しながら打つよりも、パスワードの推測が難しくなるとしています。

ホームポジションに手を置き、タッチタイプで「iloveyou」と打ったところ。「ASDF」「JKL;」に指が触れているため推定が難しい

今回の論文はあくまでも実証実験。実際にこれを攻撃手段として使おうとした場合、被害者がパスワードを入力した直後、他のキーを触る前にキーボードをサーマルカメラで撮影しなければならず、実現性は乏しそうです。念のために防止策を考えるなら、パスワードの入力前後に適当にキーに触れておくという方法が有効かもしれません。

ただ、パソコンのキーボード撮影は難しくても、ATMや建物の出入り口にある10キーならば話は別。実際、2011年には、ATMの10キーをサーマルカメラで撮影し、暗証番号を推測するという検証も行われています。この時は、入力直後に撮影できれば4桁の暗証番号の順番まで推測可能でした。

しかし当時はサーマルカメラの価格が高かったため、費用対効果が見合わなかったとのこと。

ところが最近では、サーマルカメラがスマートフォンの外付けオプションになったり、直接搭載されたりしており、以前よりも身近なものになりつつあります。これらの精度が向上していくなら、近いうちに現実的な脅威となるかもしれません。

関連記事:
iOS/Android用サーマルカメラFLIR ONEに新モデル。小型化で対応機種拡大と自撮りに対応、画素数も4倍に

サーマルカメラ搭載スマホ CAT S60、約9万円で日本発売。建機大手キャタピラーが開発

液晶式の10キーの中には、毎回ランダムに配列が変わり、押した箇所の特定を妨げる物も増えていますが、そのようなタイプは今回のThermanatorにも有効そうです。そうではない、昔ながらの10キーの場合は、キーボードと同様に入力後に全てのキーに触れておくと被害は防げるかもしれません。

Engadget 日本版からの転載。

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。