セキュリティ企業のESETは、キーボード入力されたパスワードの情報を、各キーに残る体温から推測する攻撃手法「Thermanator」を紹介した。
この攻撃方法は、カリフォルニア大学アーバイン校(UCI)が可能性を実証して論文で示したもの。入力を終えてからも、キーボードに残された熱で入力内容を推測するヒントが得られるという。
PC用のキーボードだけでなく、指で触れて操作するデバイスは、触れた位置が後から読み取られてしまう。パスワード以外にも、短い入力内容なら、どのような情報でも推測可能である。
研究チームは、一般的に使われる4種類のPC用キーボードを用意し、30人の被験者に10種類のパスワードを入力してもらった。そして、熱探知カメラで入力後のキーボードをとらえて各キーの温度を計測。その温度データを別の被験者8人に見せたところ、かなり高い確率で押されたキーを当てたそうだ。
入力を終えて長い時間が経過すると、残った熱は読み取れない。研究チームは、パスワード入力開始から30秒以内であれば押されたキーすべての識別が可能、1分後であれば一部のみ識別可能、としている。
また、キーボードのホームポジションに手を置いて入力するタッチタイプ(ブラインドタッチ)と、キーの位置を探しながら自己流で打つタイプ方法だと、余熱による入力推測は後者の方が容易だという。タッチタイプは入力時以外も指でキーに触れているため、入力と無関係な熱がキーに残され、それが推測を妨げるノイズになるらしい。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」