ITmedia NEWS > 科学・テクノロジー >
セキュリティ・ホットトピックス

スマホは後ろからどれくらいのぞかれている? 魚眼レンズで後方を自動撮影して調査Innovative Tech

» 2022年12月02日 08時00分 公開
[山下裕毅ITmedia]

Innovative Tech:

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。

 ドイツのUniversity of Duisburg-Essen、University of the Bundeswehr、KUKAに所属する研究者らが発表した論文「An Investigation of Shoulder Surfing Attacks on Touch-Based Unlock Events」は、スマートフォンを後方からのぞき見られている状況を調査した研究報告だ。

 スマートフォンのロック解除などの認証イベントの際に魚眼レンズで後方を自動撮影し、どれくらいの割合で人から見られているかを調査した。またその際に、ユーザー本人に危機感があるのかを調査した。

スマートフォンで認証している際に、後ろからのぞき見られている様子

 スマートフォンで一般的な認証方式(PIN、ロックパターン、パスワードなど)は、いわゆるユーザー中心型攻撃の影響を受けやすい。

 このような攻撃には、(1)あらゆる組み合わせを試して認証情報を特定しようとする推測攻撃(ブルートフォース)、(2)スマートフォンにアクセスした敵対者が、画面に残された手掛かり(例えば、油膜や熱残像)からパスワードを復元しようとする再構成攻撃、(3)ユーザーがスマートフォンに入力する際に、攻撃者が認証情報を後ろからのぞき見ようとする盗み見攻撃(ショルダーサーフィン)がある。

 (3)の攻撃は技術的な手段を必要とせず、機会が頻繁に(すなわち、各認証イベント中に)発生するため、特に人気がある。研究では、スマートフォンに対するショルダーサーフィン攻撃がどの程度発生しているのか、またそのような攻撃をユーザーがどの程度深刻に受け止めているのかなどを調査し考察する。

 調査に当たって、専用のロギングアプリケーションを用意し、スマートフォンのインカメラに魚眼レンズを取り付け、後方約180度の広画角で撮影できるようにする。

魚眼レンズをスマートフォンのインカメラに取り付け調査を行う

 ロギングアプリケーションでは、各認証イベント(PINコードやパスワード入力など)を検出し記録する。各認証イベントが生じた際に、インカメラが自動撮影して後方の状況を記録する。画角が広いため、もし盗み見ている人が近くにいる場合は、その人物が写っていると仮定する。

 記録した写真から、Google Mobile Vision APIを用いて顔検出を行い、顔の人数を抽出する。スマートフォンのタイムスタンプと撮影時のGPS位置も記録する。さらに、のぞき見ている人が検出されると、ユーザーはこれらの人がスマートフォンの画面を見てよいかどうか、参加者がこの状況を脅威と感じるかどうかという2つの質問の回答を入力する。

認証イベント時にインカメラで自動撮影され、その際に盗み見る人がいたら写っている可能性がある

 調査実験では、参加者12人を対象に2週間にわたって上記事柄を行ってもらった。結果、9145件の全認証イベントのうち、918件(約10%)で後方から盗み見られていると分かった。ショルダーサーフィンの発生場所は、職場や大学、自宅、公共交通機関が多かった。次いで、カフェ・レストラン・バーや公共の場、劇場ホール/講演会、狭い場所・混雑した場所が続いた。

 次に、ショルダーサーフィンにおいて、見ている人が参加者にとって見られても良い人物なのか悪い人物なのかの許容を分析した。ショルダーサーフィン攻撃があった918件中437件(48%)が、見られたくない人に分類できた。

 自宅やカフェ・レストラン・バーでのショルダーサーフィンでは、画面を見られても良い人の割合が高かった。一方、劇場ホール/講演会や公共交通機関、職場/大学、狭い場所/混雑した場所でのショルダーサーフィンでは、画面を見られたくない人の割合が高かった。

Source and Image Credits: Stefan Schneegass, Alia Saad, Roman Heger, Sarah Delgado Rodriguez, Romina Poguntke, and Florian Alt. 2022. An Investigation of Shoulder Surfing Attacks on Touch-Based Unlock Events. Proc. ACM Hum.-Comput. Interact. 6, MHCI, Article 207 (September 2022), 14 pages. https://doi.org/10.1145/3546742



Copyright © ITmedia, Inc. All Rights Reserved.