スマートフォンの加速度計が個人を特定する?

Web広告代理店は消費者のオンラインでのふるまいを追跡することで、ターゲットを絞った商品広告やさまざまな広告を提供しようとしていますが、こうした追跡はインターネット上の広範囲にわたって絶えず行われており、物議を醸しています。一般的に、広告企業はこのためにユーザーのブラウザーに少量のデータをインストールします。これらのデータは追跡Cookieとして知られます。スタンフォード大学の新しい研究によって、スマートフォンに内蔵の加速度計が、1つ1つ異なる測定結果を生成することがわかりました。広告企業はこれを利用して、今までよりさらに正確にユーザーを追跡できるようになるかもしれません。オンラインでのプライバシーを守ろうとする人にとっては迷惑な発見です。 加速度計はハードウェアの一種で、搭載するデバイスが受けた加速の度合いを計測します。少なくともスマートフォンでの用途としては、デバイスが向きを認識するための装置であり、これによって空を飛んだり乗り物を運転したりするゲームをプレイすることが可能になります。 SFGateの記事によると、スタンフォード大学コンピューター科学学部のセキュリティ研究室の研究者たちは、加速度計の製造工程において認識できないほど小さな差異が生じるために、加速度計にそれぞれ異なるごく微小な不具合があることを発見しました。もちろん、現代のほとんどの製造と同じように、加速度計の製造も大半が自動化されており、非常に正確ではありますが、完全に正確というわけではありません。 SFGateが引用した研究では、理論上、加速度計は平面に置かれた携帯電話にかかる重力の強さを測定し、携帯電話が上向きに置かれている場合は測定結果を-1という数値で表し、画面が下向きの場合は+1で表すとされています。実際の測定値はこれに近いものですが、厳密に-1、+1というわけではありません。スタンフォード大の研究者らは、こうした製造上の不具合のおかげで、加速度計の測定値が1つ1つ微妙に異なることを証明できると考えています。 まだ腑に落ちないという方もいるかもしれませんが、これはつまり、加速度計の測定値の違いを測ることで、特定のデバイスを高い精度で識別できるということです。少なくとも、デバイスの所有者(普通はそのデバイスを使っている人)を特定することはできるでしょう。 スタンフォード大学の新しい研究によって、スマートフォンに内蔵の加速度計が、1つ1つ異なる測定結果を見せることがわかりました。広告企業はこれを利用して、今までよりさらに正確にユーザーを追跡できるようになるかもしれません 私が一意的に識別可能な特徴についての記事を読むときによく考えるのは、そうした特徴(人間の生体測定に関する特徴であることが多い)をデバイス認証やオンライン認証に応用し、パスワードよりも便利で安全な認証を実現できないか、ということです。パスワードはまったく不完全でありながら、ほとんどあらゆる場所で使用されているからです。 実際に昨年、さまざまな研究者が、まったく同じに見えるグラフィックプロセッサーにも再現できないほどわずかな違いがあることを発見しました。「標準的なPCコンポーネントに見られる物理的に複製できない機能」というプロジェクトに取り組む研究者が開発したソフトウェアは、こうした細かな差異を識別することができます。このような差異はごく微細なものであるため、製造設備ではコントロールすることも再現することもできません。したがって、製造工程で生じる微細な差異が、1つ1つのプロセッサーを確実に区別する鍵のようなものになり得るのです。 スタンフォード大学の研究者が、いつか広告企業がこうした測定を利用してユーザーのオンラインでのふるまいを追跡するようになる、と考えた理由ははっきりしませんが、近い将来、スタンフォードがこの研究の全容を公開したときにわかるでしょう。 自分のスマートフォンの加速度計が一意に識別できるどうか確認するには、スタンフォード大の実験用ページにスマートフォンからアクセスして、手順に従ってみてください。

phone-spy

Web広告代理店は消費者のオンラインでのふるまいを追跡することで、ターゲットを絞った商品広告やさまざまな広告を提供しようとしていますが、こうした追跡はインターネット上の広範囲にわたって絶えず行われており、物議を醸しています。一般的に、広告企業はこのためにユーザーのブラウザーに少量のデータをインストールします。これらのデータは追跡Cookieとして知られます。スタンフォード大学の新しい研究によって、スマートフォンに内蔵の加速度計が、1つ1つ異なる測定結果を生成することがわかりました。広告企業はこれを利用して、今までよりさらに正確にユーザーを追跡できるようになるかもしれません。オンラインでのプライバシーを守ろうとする人にとっては迷惑な発見です。

スマホ加速度計-title

加速度計はハードウェアの一種で、搭載するデバイスが受けた加速の度合いを計測します。少なくともスマートフォンでの用途としては、デバイスが向きを認識するための装置であり、これによって空を飛んだり乗り物を運転したりするゲームをプレイすることが可能になります。

SFGateの記事によると、スタンフォード大学コンピューター科学学部のセキュリティ研究室の研究者たちは、加速度計の製造工程において認識できないほど小さな差異が生じるために、加速度計にそれぞれ異なるごく微小な不具合があることを発見しました。もちろん、現代のほとんどの製造と同じように、加速度計の製造も大半が自動化されており、非常に正確ではありますが、完全に正確というわけではありません。

SFGateが引用した研究では、理論上、加速度計は平面に置かれた携帯電話にかかる重力の強さを測定し、携帯電話が上向きに置かれている場合は測定結果を-1という数値で表し、画面が下向きの場合は+1で表すとされています。実際の測定値はこれに近いものですが、厳密に-1、+1というわけではありません。スタンフォード大の研究者らは、こうした製造上の不具合のおかげで、加速度計の測定値が1つ1つ微妙に異なることを証明できると考えています。

まだ腑に落ちないという方もいるかもしれませんが、これはつまり、加速度計の測定値の違いを測ることで、特定のデバイスを高い精度で識別できるということです。少なくとも、デバイスの所有者(普通はそのデバイスを使っている人)を特定することはできるでしょう。

スタンフォード大学の新しい研究によって、スマートフォンに内蔵の加速度計が、1つ1つ異なる測定結果を見せることがわかりました。広告企業はこれを利用して、今までよりさらに正確にユーザーを追跡できるようになるかもしれません

私が一意的に識別可能な特徴についての記事を読むときによく考えるのは、そうした特徴(人間の生体測定に関する特徴であることが多い)をデバイス認証やオンライン認証に応用し、パスワードよりも便利で安全な認証を実現できないか、ということです。パスワードはまったく不完全でありながら、ほとんどあらゆる場所で使用されているからです。

実際に昨年、さまざまな研究者が、まったく同じに見えるグラフィックプロセッサーにも再現できないほどわずかな違いがあることを発見しました。「標準的なPCコンポーネントに見られる物理的に複製できない機能」というプロジェクトに取り組む研究者が開発したソフトウェアは、こうした細かな差異を識別することができます。このような差異はごく微細なものであるため、製造設備ではコントロールすることも再現することもできません。したがって、製造工程で生じる微細な差異が、1つ1つのプロセッサーを確実に区別する鍵のようなものになり得るのです。

スタンフォード大学の研究者が、いつか広告企業がこうした測定を利用してユーザーのオンラインでのふるまいを追跡するようになる、と考えた理由ははっきりしませんが、近い将来、スタンフォードがこの研究の全容を公開したときにわかるでしょう。

自分のスマートフォンの加速度計が一意に識別できるどうか確認するには、スタンフォード大の実験用ページにスマートフォンからアクセスして、手順に従ってみてください。

GPSのハッキング-featured

GPSのハッキング

10月の第2月曜日は、米国ではコロンブス記念日に設定されています。今年は、ちょうど一週間前でした。1492年10月12日、クリストファー・コロンブス(Christopher Columbus)というイタリア人が、スペイン国王の許可を得て3隻の船で海にくり出しました。しかし彼は地球の外周をあまりにも短く見積もっていました…自分では東インドに向かっていると信じていたようですが、実際にはそこから1万何千kmと離れた列島に辿り着きました。今ではバハマと呼ばれるところです。 このような間違いは現在では起こり得ないように思えます。地球上で自分が今いる正確な位置を知りたければ、複数のGPS衛星が信号を送ってくれるからです。軍艦用のナビゲーションシステムとして誕生したグローバル・ポジショニング・システム(GPS)は徐々に、船員、旅行者、一般人、そして半自動ロボットが使う主流のツールになっていきました。GPSの開発者たちは、この位置情報追跡システムを誰でも使えるようにするため、民間向けの衛星信号には暗号化をまったく使用しないことにしました。これによって、今回のような攻撃やコンセプトが似た攻撃が可能になってしまうのです。 数か月前に、地中海のとある場所で、大型の豪華ヨットが予定のコースから外れました。無線ナビゲーションの研究者チームが、「偽造」した信号で船のGPS受信機をだます装置を開発したのです。 このプロジェクトはテキサス大学オースティン校の研究者によって実行されました。彼らによると、「偽造」というのは、本物の民間用GPS信号を送信する衛星よりも局地的で強力な偽の民間用GPS信号を生成することだそうです。GPS受信機は、この偽のGPS信号を本物だと信じ込んでしまいます。 「偽造」とは、本物の民間用GPS信号を送信する衛星よりも局地的で強力な偽の民間用GPS信号を生成することです スーパーヨット「White Rose of Drachs」号がモナコからギリシャのロードス島に向かって公海を渡るなか、スーツケース大の青い箱(不正信号発生装置)を手にした研究者たちは、この船の2基のGPSアンテナに信号偽造装置の狙いを定めました。偽の民間用GPS信号をさりげなく送信するこの装置は、やがて船のGPSシステムを制圧し、航路を完全なるコントロール下に置きました。 このプロセスでは何の警告も発せられず、偽の信号は本物とまったく区別がつきませんでした。つまり、この種の攻撃が実行された場合、現代の船舶の乗組員はまったく気づかない可能性があるということです。 この攻撃は、やや意外な形で機能しました。研究者は偽のGPSを使って直接船の航路を変えたわけではなく、偽のGPS信号で船員をだまし、彼らに航路を変えさせたのでした。つまり、GPSになりすまして、船が少し航路を外れていると船員に思い込ませたのです。そして船員は、正しいコースだと思った方に航路を変えましたが、実際には戻しすぎていました。そのままずっと進んでいたら、まったく別のコースに行ってしまったかもしれません。 プロジェクトリーダーのトッド・ハンフリース(Todd Humphreys)氏は次のように述べています。「船は実際に向きを変えていましたし、私たちは皆、それを感じることができました。しかし、計器も船員も、船が一直線に進んでいると思っていたのです。」 研究者らの主張によれば、この信号偽造装置を使うことで、個人が所有する8,000万ドルのスーパーヨットの航路を変えるよりも、はるかに大きなことが可能になるかもしれないそうです。実際に、ハンフリース氏はつい昨年、研究者チームを率いて、無人航空機に対して同様のGPSハイジャックを実行することに成功しています。この研究から推測されるのは、自律航法へと向かう流れが続く限り、旅客運送業界全体がこのような攻撃に巻き込まれる可能性があるということです。 「この実験は他の半自動運転の乗り物にも当てはまります。たとえば現在の航空機は、部分的にオートパイロットシステムによって操縦されています。検討を重ねて、この脅威を解決するためにできることを早急に見つけ出さなければなりません。」(ハンフリース氏) 実際、2011年後半に報じられたところによると、イラン軍が米国の無人航空機を国境内に安全に着陸させるために、同様のぜい弱性を利用したといいます。 我々が直面している問題は明らかです。Webサーバーにパッチを適用するのは簡単ですし、何億台というコンピューターにインストールされたブラウザーにパッチを当てるのは多少手間な程度ですが、GPS機能が埋め込まれた何十億ものマイクロチップへのパッチ適用は、ほぼ不可能です。GPS衛星のソフトウェアにパッチを適用するのはそれほど難しくはありません。問題が生じるのは、新しいハードウェアが必要だと判明したときです。長い時間をかけて莫大な資金を投じ、新しいハードウェアを宇宙に運ばねばならない – – 要するに、次世代のGPS衛星を製造して打ち上げる必要があるのです。 これに関して、私たちのような一般人が自分の身を守るために何ができるのかはわかりません。祈ること?むしろ、旅客運送業界がこのことを十分に理解し、こうした攻撃につながる隠れた問題の解決に積極的に取り組むことが重要です。現時点でのせめてもの救いは、今回の攻撃を行ったのがテキサス大学オースティン校の極めて聡明な学者たちであったという事実ですが、同時に、賢い人なら何でもハッキングできるという世界が急速に到来しつつあることに注意を払うべきでしょう。また、USA Todayのジャーナリストであるバイロン・アコヒード(Byron Acohido)氏が先日のVisa Global Security Summitで似たようなことを語っています。いわく、「今は本当に賢い人にしかできないことでも、いずれ誰にでもできるようになる」のです。

GPSのハッキング-featured
ヒント