タイピングの「音」でパスワードを「盗聴」――どうしたら防げる？

タイピングの打鍵音の特性から「どのキーをタイプしたか割り出す」研究が米国で発表された。キーロガーが仕組まれていないPCからもパスワード割り出し可能な「危険な技術」だ。（IDG）

[IDG Japan]

　コンピュータ用キーボードをタイプするときのカタカタという音で、驚くほど正確に入力内容を再現する方法を、カリフォルニア大学バークレー校の研究者が開発した。

　10分間、誰かがたたいているタイピングの音を分析し、タイプした内容を96％もの精度で再現するソフトウェアを開発したとの論文を、この研究者らは先週発表している

　バークレー校のコンピュータサイエンス担当教授であるダグ・タイガー氏によれば、この方法は“a”をタイプするときの音と“t”をタイプするときの音が違うという特性を応用したものだという。「コンガをたたくとき、皮のどの部分をたたくかで音が変わってくる。キーボードの下にはプレートが置かれており、違う場所からこのプレートをたたくのだから、同じようなことが起きる」とタイガー氏は説明する。

　異なる音を確認した後で、タイガー教授のチームは統計的学習理論を用いて入力したテキストの内容がどういうものであるかを推測する方法を採用した。数多くのスペルチェッカーや文法チェッカーを利用してこの理論を修正していった。こうしたやり方によって、キーボードの打鍵音を可読性のあるテキストに変換することが可能になる。

　この統計的学習理論はスパム検知や音声認識などの製品にも使われており、ここ10年間で大きく進歩してきた分野でもある。

　キーボードからスパイするというアイデアは冷戦の初期からあったものだ。当時のソビエト連邦のスパイはモスクワのアメリカ大使館でIBM Selectricタイプライターに盗聴器を仕掛けていた。しかし、バークレー校の研究はコンピュータのキーボードで利用可能なもので、さらに上の段階に位置すると、Counterpane Internet Securityの最高技術責任者で暗号学に関する著書を持つブルース・シュナイアー氏は述べる。

　「セキュリティの世界では、悪魔は細部に宿る。そしてこの開発者たちは細部に至る道を見つけてしまった」とシュナイアー氏。

　解き切れていない問題もある。この研究では“shift”や“backspace”といった頻繁に使われるキーを含めておらず、テキストは英語で入力されているものとみなす。それでもシュナイアー氏とタイガー氏は不法な目的にこれらの技術が使われるのを避けることはできないと考えている。

　犯罪者が同様な技術を使うのは時間の問題だとシュナイアー氏は信じている。「ほかにもこの技術を使いたがるところはある。NSA（国家安全保障局）がまだこの技術を完成させてないと思うなら、世間知らずもいいところだ」と同氏。

　タイガー教授は、この論文で使われた手法は比較的簡単なやり方で実現したと認めている。例えば、スペルチェッカーはオープンソースのものだし、マイクはPC用の10ドルの製品だ。このため、この論文で使われたソースコードは公開しないことに決めたという。

　では、この新たなセキュリティ危機に対してコンピュータユーザーはどのような対策を取ることができるのか？

　タイガー教授によれば、ここから得られる教訓は、ランダムに発生させたパスワードですら安全ではないということだ。この手法を用いると、5文字で構成されたランダム生成パスワードを20回以内の試行回数で90％の確度で推定することができたという。「これまでのように、パスワードに頼ることはできなくなるだろう」とタイガー教授。

　しかし、ユーザーがこの種のハッキングに対処する方法は、少なくとも1つはある。周囲のノイズを上げることだ。

　「音楽や人の声といった異なる種類の音がすべて入り交じった状態だと、キーボードのサウンドを周囲から分離させることはかなり困難になる」と論文を共著したバークレー校の学生、リー・ズアン氏は述べる。

　仕事中にロックをガンガンかけている人は、いい言い訳ができる、とズアン氏。音楽をかけていれば、この種の攻撃は非常に困難になるそうである。