スマートウォッチを悪用するデータ漏えい手法「SmartAttack」攻撃とは？：セキュリティニュースアラート

イスラエルの研究者らがスマートウォッチを使ってエアギャップ環境からデータを漏えいさせる新手法「SmartAttack」を発表した。超音波信号を使い、PCからスマートウォッチに情報を送信する。物理的に隔離されたシステムも攻撃対象となる。

[後藤大地，有限会社オングス]

　イスラエルの大学に所属する研究者チームは2025年6月10日（現地時間）、スマートウォッチを使って隔離されたエアギャップ環境からデータを外部に漏えいさせる新たな手法「SmartAttack」を発表した。この攻撃は、人間には聞こえない超音波を利用し、物理的にネットワークから切り離されたコンピュータから情報を外部に漏えいさせる手口だ。

スマートウォッチを使った音響攻撃「SmartAttack」の脅威

　エアギャップ環境は核施設や軍事設備、政府機関など、高い機密性が求められるシステムにおいて採用されており、外部からの攻撃を物理的に遮断する手段とされてきた。しかし今回の研究はそうした環境でも内部からの情報漏えいの可能性を示している。

　SmartAttackは、まず標的のPCをマルウェアに感染させる。その後、そのPCは内蔵スピーカーから18〜22kHzの超音波信号を発信し、近くにいる人の手首に装着されたスマートウォッチがこれを受信する。超音波は2進数データとしてエンコードされており、スマートウォッチ側で信号処理により復号される。データはその後、Wi-FiやBluetoothなどを通じて外部に送信される。

　実験では最大6〜9メートルの距離でも通信が可能とされ、データ転送速度は1秒当たり5〜50ビットに達した。スマートウォッチの内蔵マイクはスマートフォンと比べて性能が劣るため、受信は手首の向きや体による遮蔽（しゃへい）による影響を受けやすい。ただし手首に装着しているため、スピーカーに比較的近い位置を保てるスマートウォッチ特有の利点もある。

　この研究を主導したモルデハイ・グリ博士は、これまでにもメインメモリの信号やUSB機器、SATAケーブル、電源などを利用したさまざまなデータ漏えい手法を発表してきた。SmartAttackもその延長線上にあるもので、物理的チャネルを悪用したサイバー攻撃の新たな一例といえる。

　研究者らは主な対策として、スマートウォッチなど音声機能を備えた機器の持ち込み制限を推奨している。PCからスピーカーやマイクを物理的に取り除く「オーディオギャップ」によって、音響を使った全ての攻撃手法への根本的な対処が可能になるという。その他にも超音波の発信を監視するセンサーシステムや妨害信号を出す装置、音響信号をフィルタリングするソフトウェアファイアウォールなどが対策として挙げられている。