- 英国の研究チームが、音響攻撃を利用してキーボードのキー入力からデータを95%の精度で盗み出すディープラーニングモデルを開発した。
- このモデルの精度は、Zoomを使って音分類アルゴリズムを訓練した場合には93%まで低下するが、それでも依然として危険なほど高く、この分野では記録的な精度である。
- この種の攻撃は、パスワード、会話、メッセージ、その他の機密情報を悪意ある第三者に漏えいさせる可能性があり、データセキュリティに重大な脅威をもたらす。
- 特定の条件を必要とし、データ転送速度や距離に制限がある他のサイドチャネル攻撃とは異なり、音響攻撃は高音質の音声キャプチャが可能なマイクを備えた機器が広く普及しているため、さらに容易になっている。
- 攻撃の第一段階は標的のキーボードでのキー入力を録音することであり、これは近くのマイク、マルウェアに感染した標的の電話、またはZoom通話を通じて実行できる。
- 研究者たちは、MacBook Proの36個のキーをそれぞれ25回ずつ押して発生する音を録音し、訓練データを収集した。
- 録音されたキー入力音は波形とスペクトログラムに変換され、画像分類器である
CoAtNetの訓練に使用された。
- 研究者たちは、スマートフォン録音で95%の精度を、Zoom経由でキャプチャした録音では93%の精度を達成した。Skypeは91.7%とより低いが実用可能な精度を示した。
- 音響サイドチャネル攻撃のリスクを減らすために、ユーザーはタイピングスタイルを変更したり、ランダムなパスワードを使用したり、キー入力音を再現したり、ホワイトノイズを使用したり、ソフトウェアベースのキー入力音声フィルターを利用したりできる。
- 研究者たちは、追加の予防策として、可能な場合は生体認証を使用し、機密情報を手動で入力するのを避けるためにパスワードマネージャーを使うことを提案している。
- 攻撃モデルは、非常に静かなキーボードに対しても非常に効果的であることが証明された。これは、機械式キーボードに消音材を追加したり、メンブレンキーボードに切り替えたりしても効果がないことを示している。
1件のコメント
Hacker Newsのコメント