Wi-Fiから85％の精度でパスワードを推定するサイバー攻撃とは？ 中国の研究者らが発表：セキュリティニュースアラート

中国の研究者らは「WiKI-Eve」という新しいサイバー攻撃手法を発表した。Wi-Fiのビームフォーミングフィードバック情報からキーストローク情報を推論し、パスワードを推定する。

[後藤大地，有限会社オングス]

　Wi-Fiはその利便性から多くのデバイスで使用されており、サイバー攻撃者もこの悪用を狙っている。こうした中、中国湖南大学と中国復旦大学、シンガポール南洋理工大学の研究者らが「WiKI-Eve」という新しいサイバー攻撃手法を発表した。この手法によってWi-Fi経由でパスワードを推論できる可能性がある。

中国湖南大学と中国復旦大学、シンガポール南洋理工大学の研究者らが「WiKI-Eve」という新しいサイバー攻撃手法を発表した（出典：共同で発表されたPDF資料）

Wi-Fiから情報を窃取してパスワードを推定　85％の精度で解読

　Wi-Fiは有線を必要としない通信技術として全世界で広く普及している。スマートフォンやタブレットデバイス、ノートPCなどネットワークに接続するさまざまなデバイスがWi-Fiに対応し、ユーザーはその利便性の恩恵を受けている。

　一方でこの無線技術はサイバー攻撃の分析対象にもなってきた。既存の幾つかの攻撃手法についてはよく知られているが、これを実行するにはハードウェアに手を入れる必要があるなど実現に際してのハードルが高く、現実的に広く悪用されるものとしては認識されていなかった。

　しかしこれが覆る可能性が出てきた。中国湖南大学と中国復旦大学、シンガポール南洋理工大学の研究者らがWiKI-Eveと呼ばれる新しいサイバー攻撃手法を発表した。

　WiKI-Eveは、最新のWi-Fiハードウェアが提供するビームフォーミングフィードバック情報を利用している。ビームフォーミングフィードバック情報はスマートフォンなどのデバイスからアクセスポイントに平文で送信されるため、モニターモードで動作している他のWi-Fi対応デバイスによって盗聴される可能性がある。

　この攻撃は収集した情報に対して学習技術をベースとしたキーストロークの推論を実行してパスワードを推定する。既存のキーストローク推論手法は汎用的ではないため、WiKI-Eveでは敵対的学習スキーマをさらに改善したものを使って未知のシナリオに対しても汎化した推論を実現している。

　研究者らによると、WiKI-Eveは、数字のキーストロークを90％の確率で識別し、6桁の数字パスワードの場合、100回未満の試行で85％の精度でパスワードを解読した。ただし、このパフォーマンスには、攻撃者とアクセスポイント間の距離が重要になる。距離を1メートルから10メートルに増やすと、推測成功率は23％低下した。

　この手法が実際にサイバー攻撃として悪用されることになるのかどうか、今後の動向が注目される。