アバターの“指の動き”からパスワードを盗む攻撃 VR内で働く人のキーボード操作に着目:Innovative Tech
米シカゴ大学に所属する研究者らは、同じVR空間で作業をしているアバターの指の動きから入力内容を復元する攻撃を提案した研究報告を発表した。
Innovative Tech:
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
米シカゴ大学に所属する研究者らが発表した論文「Can Virtual Reality Protect Users from Keystroke Inference Attacks?」は、同じVR空間で作業をしているアバターの指の動きから入力内容を復元する攻撃を提案した研究報告である。
この研究は、米Metaが提供するバーチャルオフィスプラットフォーム「Meta Horizon Workrooms」におけるキーストローク推測攻撃の可能性を調査している。攻撃では、同じ空間にいる1人のVRユーザーが、別のユーザーのアバターの手の動きを分析し、タイプされた内容を推測するものである。
タイピングは重要な情報の入力手段であるため、この攻撃が成功すると、機密情報の漏えいやプライバシーの侵害、財務上の損失など、深刻な影響を及ぼす可能性がある。物理的な攻撃と比較して、VR上でのキーストローク推測攻撃はより強力であり、攻撃者は物理的な制約なく多くの遠隔の被害者を狙うことができる。
この研究では、VR空間におけるキーストローク推測攻撃のためのコンポーネント化された自己教師あり学習パイプラインを開発している。訓練されたモデルは、ターゲットのアバターが表示する手の動きのノイズの多いデジタル表現を収集し、キーボードのレイアウトを知らなくても、それを使用してタイプされたデータを再構築する。
モデルは、キーストロークのイベント検出、使用された指の特定、キーの認識の3つの段階に分けられている。まず、簡素化されたテレメトリーデータに統計分析を行い、初期推測結果を得る。次に、これらの結果を使用して訓練データを作成し、分類器であるトランスフォーマーを訓練する。これにより、キーストロークとテレメトリーデータの関係を学ぶ。
最後に、この分類器の出力を最終コンポーネントに供給する。この方法により、ノイズの多いテレメトリーデータから重要なキーストローク情報を段階的に抽出し、エラーを最小限に抑える。
ユーザースタディーを実施し、さまざまなVRシナリオと設定の下で提案された攻撃を評価する。これにはアバターの距離と配置、キーボードデバイス、タイピング内容が含まれる。15人中13人の参加者に対して、攻撃はタイプされたキーの86〜98%を正確に認識し、回復されたテキストは元の内容の意味の50〜98%を保持していたことを示した。
Source and Image Credits: Yang, Zhuolin, et al. “Can Virtual Reality Protect Users from Keystroke Inference Attacks?.” arXiv preprint arXiv:2310.16191(2023).
関連記事
- HTMLソースコードから個人情報が筒抜け? Chromeなどのブラウザ拡張機能の多くで脆弱性 米研究者らが発見
米ウィスコンシン大学マディソン校に所属する研究者らは、HTMLソースコードからのパスワード、クレジットカード情報などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告を発表した。 - メタバースでパンデミック ソーシャルVRをハッキングする攻撃 ヘッドセットを乗っ取り、ユーザー間でも感染
チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らは、他人のVR HMDとコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告を発表した。 - メタバースでのなりすましを防ぐ 3Dアバターの本人証明ができるセキュリティ基盤 凸版印刷が開発
凸版印刷が、メタバース向けセキュリティ基盤「AVATECT」を開発した。3Dアバターの情報管理機能、唯一性を証明するためのNFT化、コピーガードとしての電子透かし付与など、他者のなりすましを防止する機能を備える。 - “ハッカー体験”ボードゲーム、IPAが無料公開 攻撃者視点で防御を学ぶ 手番は「最近怪しいメールが来た人」から
IPAは、ハッカー視点の獲得を目指したボードゲームを無料公開した。サイバー攻撃者の視点を疑似体験することで、サイバーセキュリティ対策の重要性を学ぶことが目的。ゲームマニュアルやサイコロ、ボードなど素材一式のデータを無料でダウンロードできる。 - カジノの“カードシャッフルマシン”を不正操作するサイバー攻撃 小型機器をUSBに差し込むだけ
サイバーセキュリティ会社の米IOActiveに所属する研究者らは、カジノのカードシャッフルマシンをハッキングする手法を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.