|
|
| 2005/09/15 Michael Kanellos(CNET News.com)
|
| 新たな脆弱性が見つかった。それはキーボードをタイプする時の音だ。
|
| カリフォルニア大学バークレー校(UCB)の研究者によると、キーをタイプする際に出る音を録音し、各キーから出る音の違いを分析して、入力された文字を割り出すことが可能だという。また、一般ユーザーは毎分300文字程度しか入力しないため、ユーザーがキーを叩いている間も、個々の音を分離するための十分な時間がとれるという。
|
| UCBの研究者らは、ユーザーがキーボードをタイプしているところを録音した10分ほどのサンプルをいくつか用意した。そして、あるアルゴリズムを使って分析した結果、入力された文字の最大96%を再現することができたという。
|
| このテクニックは、周囲で音楽が流れていたり、携帯電話の呼び出し音が鳴っていても、問題なく使えた。また、ごくふつうの録音用機器を使って、いわゆる「静音型」キーボードの音を録音した実験でも機能した。
|
| このテクニックを使われると、どんな書類を作成していても、内容を割り出されてしまうが、UCBのコンピュータ科学/情報管理学教授でこの研究の責任者を務めたDoug Tygarは、この実験はあくまでパスワードのもろさを浮き彫りにするためのものだと述べている。
|
| 「認証の仕組みとしてのパスワードには絶対に見直しが必要だ。この攻撃方法は難解なものではない。多少はコンピュータ科学の知識が必要だが、どこにでもある部品を使ってできてしまう。実験に使ったマイクは10ドルのものだった」(Tygar)
|
| 今回の実験は、IBMのDmitri AsonovとRakesh Agrawalが行った研究に基づいたものだ。両氏は、キーボードから出る音を録音し、そこからタイプ入力したテキストの80%を再現する様子を公表した。ただし、これらの実験は緻密な管理下で行われたものだった。
|
| なお、UCBによる実験の結果は、11月10日にバージニア州アレキサンドリアで開催されるAssociation for Computing Machinery Conferenceで発表される。
|
|
| 2005/09/14 ITmedia
|
| タイピングの打鍵音の特性から「どのキーをタイプしたか割り出す」研究が米国で発表された。キーロガーが仕組まれていないPCからもパスワード割り出し可能な「危険な技術」だ。(IDG)
|
| コンピュータ用キーボードをタイプするときのカタカタという音で、驚くほど正確に入力内容を再現する方法を、カリフォルニア大学バークレー校の研究者が開発した。
|
| 10分間、誰かがたたいているタイピングの音を分析し、タイプした内容を96%もの精度で再現するソフトウェアを開発したとの論文を、この研究者らは先週発表している
|
| バークレー校のコンピュータサイエンス担当教授であるダグ・タイガー氏によれば、この方法は“a”をタイプするときの音と“t”をタイプするときの音が違うという特性を応用したものだという。「コンガをたたくとき、皮のどの部分をたたくかで音が変わってくる。キーボードの下にはプレートが置かれており、違う場所からこのプレートをたたくのだから、同じようなことが起きる」とタイガー氏は説明する。
|
| 異なる音を確認した後で、タイガー教授のチームは統計的学習理論を用いて入力したテキストの内容がどういうものであるかを推測する方法を採用した。数多くのスペルチェッカーや文法チェッカーを利用してこの理論を修正していった。こうしたやり方によって、キーボードの打鍵音を可読性のあるテキストに変換することが可能になる。
|
| この統計的学習理論はスパム検知や音声認識などの製品にも使われており、ここ10年間で大きく進歩してきた分野でもある。
|
| キーボードからスパイするというアイデアは冷戦の初期からあったものだ。当時のソビエト連邦のスパイはモスクワのアメリカ大使館でIBM Selectricタイプライターに盗聴器を仕掛けていた。しかし、バークレー校の研究はコンピュータのキーボードで利用可能なもので、さらに上の段階に位置すると、Counterpane Internet Securityの最高技術責任者で暗号学に関する著書を持つブルース・シュナイアー氏は述べる。
|
| 「セキュリティの世界では、悪魔は細部に宿る。そしてこの開発者たちは細部に至る道を見つけてしまった」とシュナイアー氏。
|
| 解き切れていない問題もある。この研究では“shift”や“backspace”といった頻繁に使われるキーを含めておらず、テキストは英語で入力されているものとみなす。それでもシュナイアー氏とタイガー氏は不法な目的にこれらの技術が使われるのを避けることはできないと考えている。
|
| 犯罪者が同様な技術を使うのは時間の問題だとシュナイアー氏は信じている。「ほかにもこの技術を使いたがるところはある。NSA(国家安全保障局)がまだこの技術を完成させてないと思うなら、世間知らずもいいところだ」と同氏。
|
| タイガー教授は、この論文で使われた手法は比較的簡単なやり方で実現したと認めている。例えば、スペルチェッカーはオープンソースのものだし、マイクはPC用の10ドルの製品だ。このため、この論文で使われたソースコードは公開しないことに決めたという。
|
| では、この新たなセキュリティ危機に対してコンピュータユーザーはどのような対策を取ることができるのか?
|
| タイガー教授によれば、ここから得られる教訓は、ランダムに発生させたパスワードですら安全ではないということだ。この手法を用いると、5文字で構成されたランダム生成パスワードを20回以内の試行回数で90%の確度で推定することができたという。「これまでのように、パスワードに頼ることはできなくなるだろう」とタイガー教授。
|
| しかし、ユーザーがこの種のハッキングに対処する方法は、少なくとも1つはある。周囲のノイズを上げることだ。
|
| 「音楽や人の声といった異なる種類の音がすべて入り交じった状態だと、キーボードのサウンドを周囲から分離させることはかなり困難になる」と論文を共著したバークレー校の学生、リー・ズアン氏は述べる。
|
| 仕事中にロックをガンガンかけている人は、いい言い訳ができる、とズアン氏。音楽をかけていれば、この種の攻撃は非常に困難になるそうである。
|
|
| 2004年11月24日 nikkeibp.jp
|
| “電磁波セキュリティ”の業界団体である新情報セキュリティ技術研究会(IST)は11月24日,公開セミナーを開催し,電磁波による情報漏洩の公開実験や,ISTが作成した「電磁波セキュリティガイドライン」に関する発表などを行った。
|
| 公開実験では,市販されている10万円程度の受信機を利用するだけで,あるパソコン・モニターに表示されている映像を,別のパソコンで“盗聴”できることを示すデモンストレーションを実施した。
|
|
| 2004年11月24日 IT Pro
|
| “電磁波セキュリティ(漏洩/侵入電磁波に関するセキュリティ)”の業界団体である新情報セキュリティ技術研究会(IST)は11月24日,公開セミナーを開催し,電磁波による情報漏洩の公開実験や,ISTが作成した「電磁波セキュリティガイドライン」に関する発表などを行った。
|
| 公開実験では,市販されている10万円程度の受信機を利用するだけで,あるパソコン・モニターに表示されている映像を,別のパソコンで“盗聴”できることを示すデモンストレーションを実施した。デモでは,あるパソコンから漏洩している電磁波を空気中/電源コンセント/電源コード経由で受信機でキャッチして,別のパソコンに表示させていた。表示された画像は不明瞭であったが,電磁波が漏れていること,および“盗聴”が可能であることは十分実感できた。
|
| また,1億円程度の「高性能測定装置」を使った公開実験も“披露”した。こちらは,数メートル離れたノートパソコンの画面が,測定装置の画面上に明瞭に映し出されていた。
|
| そのほかセミナーでは,電磁波セキュリティに関する講演が行われた。例えば,参加者に配布した電磁波セキュリティガイドラインを解説する講演があった。ガイドラインは,電磁波による情報漏洩などを防ぐための指針や対策手順などをまとめたもの。「電磁波による情報漏洩の危険性を訴えるだけではなく,その対策についても広く伝えるべきだと考えている」(ISTの宮坂肇技術副部会長)。今回配布したガイドラインをISTのWebサイトでも公開するかどうかは,現在検討中だという。
|
| ISTが設立されたのは2001年9月のこと。「この3年間で,“電磁波セキュリティ”という言葉はある程度浸透してきたと思う。ISTとしては,今後も今回のようなセミナーなどを通して,電磁波セキュリティについての啓蒙活動を続けていきたい」(宮坂氏)
|
|
| 平成16年11月24日 IST
|
| 「新情報セキュリティ技術研究会」は、このたび、総務省や経済産業省等で進められている情報セキュリティ政策を踏まえながら、電磁波セキュリティガイドラインを作成いたしましたので、公開いたします。
|
| 本ガイドラインは、公的部門や民間部門を問わず、情報セキュリティ対策の充実が求められる現在、微弱な電磁波による情報の漏洩、強力な電磁波の侵入によるセキュリティ上の問題を改善する手引書としてまとめているものです。 以上
|
|
| 2003/11/02 ITmedia
|
| 電磁波の漏えい/侵入が、情報セキュリティの“新たな脅威”になりつつある。「新情報セキュリティ技術研究会(IST)」が開催したセミナーで、電磁波による情報の漏えいの危険性や、電磁波セキュリティの指針として制定されたガイドラインの内容などが語られた。
|
| PCケーブルなどから放射される微弱な電磁波を離れた場所で傍受する「電磁波盗聴」や、情報機器を狙った「電磁波攻撃」が、情報セキュリティの新たな脅威として問題になっている。
|
| 電磁波に関連する情報セキュリティ技術活用を目的に設立された民間任意団体「新情報セキュリティ技術研究会(IST)」は10月31日、都内で「新情報セキュリティ技術研究会公開セミナー」を開催。電磁波による情報の漏えいの危険性や、今年6月にドラフト版が公開された「電磁波セキュリティガイドライン」(別記事を参照)の内容、今後の活動などについて語った。
|
| IST技術部会長の大野浩之氏(通信総合研究所)は、「侵入者はどの世界でも、“ローリスクハイリターン”のところを狙う。情報盗聴の世界も同じで、一番弱い場所が狙われる。従来行われていた通信経路から情報を盗む手口は、暗号化が広がってやりにくくなった。真ん中(経路)から盗みにくいなら、端から攻めようというのが今のトレンド。現在被害が増えているウイルスやスパイウェアなどは、末端の脆弱性を狙ったもの。だが、これらもセキュリティが強固になって侵入しづらくなっている。この次に来る方法が、電磁波盗聴」と警鐘を鳴らす。
|
| PCやモニター、プリンターといった情報機器から発生する電磁波は、VCCI(Voluntary Control Council for Information Technology Equipment:情報処理装置等電波障害自主規制協議会)規格によって規制値が定められている。だが、VCCI規制値をクリアしている情報機器でも、ごく弱いレベルの電磁波がもれているケースが多い。このような漏えい電磁波は、約100メートル離れた場所からも傍受可能という。
|
| 「どんなに堅牢なOSや強固なネットワークを構築しても、最後は人間が画面を見ていたり、プリンターで印字したりする。これら漏えい電磁波は、従来ノイズとして軽視されていたが実は画面情報を含んでおり、特殊な装置を使うことで離れた場所からもPC画面をのぞき見ることができる」(大野氏)
|
| 一方、電磁波盗聴とは逆に、外部から電磁波を情報機器に当てることで、機械の誤動作や故障を引き起こす「電磁波攻撃」への対策も必要となってくる。
|
| 「落雷によって電源やトランスが焼けたといった事故はあるが、これと同じように強力な電磁波を照射することで、情報機器を故障させるということは技術的に可能。落雷に匹敵するような強い電磁波などは簡単に作れないのでは、と思われるだろうが、業務に支障を与える程度の攻撃に、強い電磁波を作る必要はない。例えば、システムが30分に1回リブートしてしまうだけで、事実上の破壊に等しい。この程度の電磁波なら、簡単に作れる」(大野氏)
|
| 電磁波セキュリティガイドラインは、このような電磁波の脅威に対する情報システムへのセキュリティ確保の指針を提示するもの。ガイドラインでは、漏えい/侵入電磁波の定義やその経路、想定される脅威を明確にしているほか、適用範囲や対策基準、工事設計基準などが詳細に定められている。
|
| 「今後は、ガイドライン内容の向上や実際の運用上の改善点などを洗い出すほか、電磁波セキュリティに対しての問題意識を世の中に普及啓蒙していくのもガイドラインの役割。これらの活動をどのように行っていくかを現在検討している」(大野氏)
|
|
| 2003/06/06 ITmedia
|
| 新情報セキュリティ技術研究会は、電磁波漏洩・侵入も情報セキュリティの一環とする立場から、「電磁波セキュリティガイドライン」のドラフトを作成し、Web上で公開した。
|
| 新情報セキュリティ技術研究会は6月6日、各省庁などが進める情報セキュリティ政策を踏まえ、「電磁波セキュリティガイドライン」のドラフトを作成し、同研究会のWebサイトで公開した。
|
| 新情報セキュリティ技術研究会は、電磁波漏洩を防ぐための技術や光無線技術の活用などを目的として、2001年9月に結成された団体で、IT企業を中心に国内41社が参加している。同研究会では、情報セキュリティ確保のニーズが高まっていることを受け、新たな脅威として電磁波のセキュリティを取り扱う必要があると指摘。その対処策としてこのガイドラインをまとめた。
|
| 同研究会によると、各IT機器からは、たとえVCCIなどの規制値を守っていたとしても、微弱なレベルの電磁波が漏れている。特殊な装置を用いれば、この漏洩電磁波を傍受し、それを元に機器の情報を再生することも可能ということだ。逆に、やはり特殊な装置を用いて意図的に電磁波を発生させ、IT機器の誤動作を引き起こすことも可能という。
|
| 今回まとめられたガイドラインのドラフトでは、これら電磁波に起因するセキュリティ上の問題への対策と、それに必要な試験方法、建築工事設計基準などについてまとめられている。同研究会では、漏洩電磁波の基準値など具体的な項目のまとめを進め、2003年度内にガイドラインの完成を目指すとしている。
|
|
| 2001年9月26日 NTT DATA
|
| 株式会社NTTデータ/株式会社コトヴェール/日本ビクター株式会社
|
| 株式会社NTTデータ(代表取締役社長:青木利晴、本社:東京都江東区)、株式会社コトヴェール(代表取締役社長:岡野義昭、本社:東京都中央区)、日本ビクター株式会社(代表取締役社長:寺田雅彦、本社:神奈川県横浜市)の3社は他21の民間企業、関係機関・団体の賛同を得て、「新情報セキュリティ技術研究会(Information Security Technology study group 略称:IST)」を平成13年9月27日に設立し、情報漏洩の脅威と認識されつつある電磁波盗聴をテーマに活動を開始します。
|
| 情報化社会の進展にともない、情報技術が個人、企業、社会に大きく影響を及ぼす存在となる一方で、コンピュータウィルス、情報の改ざん・消去・破壊、盗聴、なりすまし、および不正アクセス、などの脅威の顕在化が心配されています。情報漏洩防止、情報の改ざん防止、情報システムの信頼性向上といった情報セキュリティ向上対策の中から情報漏洩防止に的を絞り、さらにサイバーテロの予防も視野に入れて、電磁波盗聴への対策を先取りする研究会を立ち上げることになりました。
|
| (電磁波盗聴とは : コンピュータから漏れるごく弱い電磁波を元にコンピュータ画面やパスワードなどの情報を遠く離れたところから何の痕跡も残さずに盗み取ること)
|
|
|
|