このページの本文へ

ウェブ会議中の無意識なカラダの動きで「パスワードがバレる」危険

2021年01月22日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

動きでパスワードを読み取ることが可能!?

 国内外を問わず、在宅勤務が推奨されている昨今。オン/オフを問わず、ウェブ会議ツールを利用する頻度も増えているだろう。

 対面する機会を減らしウェブ会議で移動を省けるようになれば、感染症の流行時にも、事業継続性を確保することに繋がる。また、職場だけでなく、自宅でも業務が可能になるため、さまざまな働き方を実践できるのもポイントだ。

 一方で、サービス側が、セキュリティ面やプライバシー面などに問題を抱えているというリスクは、かねてより懸念されてきた。たとえば2020年には、人気のオンライン会議ツールであるZoomのセキュリティやプライバシーの問題が相次いで報道され、Zoom側がプライバシーポリシーを更新するという流れもあった。

 ウェブ会議にひそむ思わぬリスクには、こんな例もある。テキサス大学サンアントニオ校とオクラホマ大学の研究者により、「ウェブ会議の参加者は、入力中の腕や肩を動かすことなどからパスワードを推測できる可能性がある」という研究論文が、2020年9月に発表された。

 この研究によれば、ウェブ会議中の動きから、キーボードでどのキーを押しているかを推測することが可能であるという。ポイントは、パスワードが複雑ではないものだったり、あるいはパスワードが一般的に使用されることの多い文字列であったりすると、解読されてしまう可能性が高くなるという点だ。

 対策としては、パスワードを複雑にするのはもちろんのこと、生態認証、多要素認証などのテクノロジーを採り入れたパスワードソリューションも利用したい。パスワードの使い回しは、リスクが高いので控えたいところだ。

ログインの際に、パスワードだけでなく電話番号(SMS)などによる認証も必要になる「2段階認証」(ログイン認証)などを設定しておけば、強固なセキュリティとなる。

ウェブ会議で気をつけること

 ウェブ会議を利用する際には、パスワード以外にも注意知るべきポイントがある。セキュリティ面で気をつけることはどこだろうか?

 まず、サービス選びから。サービス自体が個々のユーザーをトラッキングし、その情報の一部をサードパーティと共有するようなサービスは避ける、データの傍受を防ぐため、送信中のすべてのデータを暗号化するサービスを優先する……といった姿勢が重要になる。

 多要素認証のサポートがされているか、プライバシーポリシー(サードパーティとの共有)の内容はどうなっているかも、あわせてチェックするとよい。機能面と安全面の両方で検討し、適切なツールを選ぼう。

 また、会議中のユーザーは、アプリの外で画面を録画し、音声を録音できる点は認識しておこう。会話はセキュリティーが万全ではないという前提を、参加者で共有する必要がある。

 ウェブ会議が当たり前になった時代だからこそ、セキュリティは意識しておきたい。McAfee Blogの「Web会議ツールでのキーボードスヌーピング攻撃を防ぐ3つのヒント」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

Web会議ツールでのキーボードスヌーピング攻撃を防ぐ3つのヒント:McAfee Blog

 今年はZoomやMicrosoft TeamsといったWeb会議の利用が本格化しました。これまで以上に多くの人が自宅で仕事や学習をしているため、Web会議ツールは急速にリモート通信の主流の方法になり、ユーザーは接続し続けています。しかし、ボディランゲージを介してビデオ通話でパスワードを提供している可能性があることに気付く人はほとんどいません。トムズガイドの記事によると、参加者は、入力中の腕や肩を動かすことなどからパスワードを推測できるようです。先月、テキサス大学サンアントニオ校とオクラホマ大学の研究者により研究論文が発表されました。

 この脅威がどのように機能するかを理解して、Web会議で安心して接続を継続できるようにしましょう。

ハッカーがWeb会議ツールを使用して個人データをスワイプする方法

 キーボードスヌーピング、またはキーボード干渉の脅威は、攻撃者がビデオコールに参加し、ターゲットの体と生理学的特徴を観察して、入力内容を推測するときに発生します。この攻撃を成し遂げるには、ハッカーは会議またはビデオストリームを記録し、コンピュータープログラムを介してフィードする必要があります。このプログラムは、視覚的な背景を排除し、ユーザーの顔に対する腕と肩の動きを測定します。そこから、プログラムはユーザーのアクションを分析して、パスワードやその他の機密情報など、キーボードでどのキーを押しているかを推測します。

 さて、このプログラムはどれくらい正確なのでしょうか。これは、被験者が制御されていない環境で自分のデバイスを使用している場合、プログラムの正解率は20%だったことを示していますが、パスワードが最も一般的に使用される100万のパスワードの1つである場合、プログラムの精度は75%に向上しました。そして、プログラムがすでに彼らの電子メールアドレスまたは名前を知っていたと仮定します。その場合、90%の確率で、ターゲットがビデオハングアウト中にこの情報を入力していたとき(およびパスワードがすぐに続くとき)を解読できます。当然ではありますが、パスワードが複雑ではないほど、プログラムは入力内容を推測しやすくなります。

キーボードスヌーパーから保護するには

 入力したテキストには、クレジットカード番号、認証コード、物理アドレスなどのパスワード以外の機密情報や個人情報が含まれていることが多いため、”キーストローク推論”攻撃は潜在的に危険な影響を与える可能性があります。また、公共のビデオ共有/ストリーミングプラットフォームから取得したWeb会議やビデオは、この攻撃の影響を受けやすいことに注意することも重要です。

 Web会議の利用が増加する中、このようなリスクがあるため、会議の参加者に入力内容を詮索されないよう、3つのヒントをお伝えします。

1.堅牢で一意のパスワードを作成

 パスワードやパスフレーズを一意にすることで、キーボードスヌーパーに楽をさせないようにしましょう。今や大量にあるオンラインアカウントですが、異なるパスワードまたはパスフレーズを使用することで、アカウントの1つが脆弱になった場合でも、他のアカウントへの影響はなく安全であれば、落ち着いて事態を収拾することができます。同じパスワードやIDを使用している方はぜひ見直しすることをお勧めします。

2.多要素認証を使用

 2要素認証または多要素認証は、身元を確認するためにテキストメッセージや安全なコードの電子メール送信など、複数の形式の確認を必要とするため、セキュリティの追加レイヤーを提供します。Gmail、Dropbox、LinkedIn、Facebookなどの最も人気のあるオンラインサイトは多要素認証を提供しており、設定は数分程度で可能です。設定することにより、キーボードスヌーピングによってあなたの情報を発見した可能性のある犯罪者による、なりすましが成功するリスクが軽減されます。

3.パスワードマネージャーを活用

 McAfee Total Protectionに含まれているようなパスワードマネージャーを使用することで、セキュリティを次のレベルに引き上げることが可能です。パスワードマネージャーを使用すると、強力なパスワードを作成したり、多数のパスワードを覚える手間を省いたり、Webサイトに自動的にログインが可能になります。

最新情報を入手

 日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Secをフォローし、ポッドキャストHackableをお聞きください。

 ※本ページの内容は2020年10月27日(US時間)更新の以下のMcAfee Blogの内容に一部補足しています。
 原文:How to Prevent Keyboard Snooping Attacks on Video Calls
 著者:Pravat Lall

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ

5分で解説! あなたとスマホは狙われている

マカフィーは大切なものを守ります。