　ドイツのUniversity of Duisburg-Essen、University of the Bundeswehr、KUKAに所属する研究者らが発表した論文「An Investigation of Shoulder Surfing Attacks on Touch-Based Unlock Events」は、スマートフォンを後方からのぞき見られている状況を調査した研究報告だ。

　スマートフォンのロック解除などの認証イベントの際に魚眼レンズで後方を自動撮影し、どれくらいの割合で人から見られているかを調査した。またその際に、ユーザー本人に危機感があるのかを調査した。

スマートフォンで認証している際に、後ろからのぞき見られている様子

　スマートフォンで一般的な認証方式（PIN、ロックパターン、パスワードなど）は、いわゆるユーザー中心型攻撃の影響を受けやすい。

　このような攻撃には、（1）あらゆる組み合わせを試して認証情報を特定しようとする推測攻撃（ブルートフォース）、（2）スマートフォンにアクセスした敵対者が、画面に残された手掛かり（例えば、油膜や熱残像）からパスワードを復元しようとする再構成攻撃、（3）ユーザーがスマートフォンに入力する際に、攻撃者が認証情報を後ろからのぞき見ようとする盗み見攻撃（ショルダーサーフィン）がある。

　（3）の攻撃は技術的な手段を必要とせず、機会が頻繁に（すなわち、各認証イベント中に）発生するため、特に人気がある。研究では、スマートフォンに対するショルダーサーフィン攻撃がどの程度発生しているのか、またそのような攻撃をユーザーがどの程度深刻に受け止めているのかなどを調査し考察する。

　調査に当たって、専用のロギングアプリケーションを用意し、スマートフォンのインカメラに魚眼レンズを取り付け、後方約180度の広画角で撮影できるようにする。

魚眼レンズをスマートフォンのインカメラに取り付け調査を行う

　ロギングアプリケーションでは、各認証イベント（PINコードやパスワード入力など）を検出し記録する。各認証イベントが生じた際に、インカメラが自動撮影して後方の状況を記録する。画角が広いため、もし盗み見ている人が近くにいる場合は、その人物が写っていると仮定する。

　記録した写真から、Google Mobile Vision APIを用いて顔検出を行い、顔の人数を抽出する。スマートフォンのタイムスタンプと撮影時のGPS位置も記録する。さらに、のぞき見ている人が検出されると、ユーザーはこれらの人がスマートフォンの画面を見てよいかどうか、参加者がこの状況を脅威と感じるかどうかという2つの質問の回答を入力する。

認証イベント時にインカメラで自動撮影され、その際に盗み見る人がいたら写っている可能性がある

　調査実験では、参加者12人を対象に2週間にわたって上記事柄を行ってもらった。結果、9145件の全認証イベントのうち、918件（約10％）で後方から盗み見られていると分かった。ショルダーサーフィンの発生場所は、職場や大学、自宅、公共交通機関が多かった。次いで、カフェ・レストラン・バーや公共の場、劇場ホール／講演会、狭い場所・混雑した場所が続いた。

　次に、ショルダーサーフィンにおいて、見ている人が参加者にとって見られても良い人物なのか悪い人物なのかの許容を分析した。ショルダーサーフィン攻撃があった918件中437件（48％）が、見られたくない人に分類できた。

　自宅やカフェ・レストラン・バーでのショルダーサーフィンでは、画面を見られても良い人の割合が高かった。一方、劇場ホール／講演会や公共交通機関、職場／大学、狭い場所／混雑した場所でのショルダーサーフィンでは、画面を見られたくない人の割合が高かった。

Source and Image Credits: Stefan Schneegass, Alia Saad, Roman Heger, Sarah Delgado Rodriguez, Romina Poguntke, and Florian Alt. 2022. An Investigation of Shoulder Surfing Attacks on Touch-Based Unlock Events. Proc. ACM Hum.-Comput. Interact. 6, MHCI, Article 207 (September 2022), 14 pages. https://doi.org/10.1145/3546742

メタバースでパンデミック　ソーシャルVRをハッキングする攻撃　ヘッドセットを乗っ取り、ユーザー間でも感染
チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らは、他人のVR HMDとコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告を発表した。
最大8m先からスマホで話す相手の声を盗聴できる攻撃　ミリ波の反射を利用
中国の浙江大学とHIC-ZJU、崑山杜克大学、米University of Colorado Denver、米SUNY Buffaloによる研究チームは、スマートフォンで話している相手の声を最大8m先から盗聴できる攻撃を提案した研究報告を発表した。
ドローンで上空から家の中をサイバー攻撃　壁越しに屋内のWi-Fi対応全機器を追跡
カナダのUniversity of Waterlooと米University of Illinois Urbana-Champaignによる研究チームは、上空のドローンからWi-Fiを利用して壁越しに屋内を攻撃する手法を提案した研究報告を発表した。
“指紋画像”を盗み、スマートフォンや銀行口座を解除する攻撃　オーストラリアの研究者が発表
オーストラリアの研究者は、指紋読取装置からユーザーの指紋画像を取得する攻撃を提案した研究報告を発表した。取得した指紋画像を用い、スマートフォンや銀行口座、ドアのスマートロックなど他のシステムにアクセスするという悪用が行える。
自動運転車の視界から“人だけ”を消す攻撃　偽情報をLiDARに注入　電通大などが発表
米ミシガン大学、米フロリダ大学、電気通信大学による研究チームは、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告を発表した。