熱画像を悪用した攻撃

セキュリティ関連で最もシンプルな「攻撃」は何だと思いますか？答えは、ショルダーハック（ショルダーサーフィン）です。窃盗犯は、あなたがパスワードや暗証番号を入力する際に、肩越しにのぞき見してそのパスワードを盗みます。これにはパソコンやソフトウェアをハッキングするための特別な能力は必要ありません。一方で、ショルダーサーフィンの被害を防ぐことも簡単です。ログインするときに手でキーを隠すか、後ろに誰もいないことを確認するだけです。しかし、パスワードを直接見なくてもパスワードを盗む方法があります。鍵となるのは、パスワードを指で入力した後のキーボードやタッチスクリーンに残されたわずかな熱です。

熱画像とATM

熱画像を悪用した攻撃（別名：サーマルアタック、熱画像攻撃）は、15年以上前から研究者の関心を集めています。これは、ユーザーがキーボードやタッチスクリーンなどに指でパスワードなどを入力したあと、それをサーモグラフィカメラ（熱探知カメラ）で撮影してその熱分布を可視化し、情報を盗み取る攻撃方法です。研究がはじめられた当時、最も起こりうるシナリオはATMを使った攻撃だと考えられてきました。その手口とは次のようなものです。まずはよく使う一般的なATMのキーパッドを想像してみてください。

一般的なATMのキーパッド　出典

あなたがATMに行き、カードを挿入して暗証番号を入力し、現金を受け取って立ち去ったとします。そのすぐ後に、あなたに気づかれることなく攻撃者が同じATMに近寄り、サーモカメラを使ってキーパッドの写真を撮ります。

サーモカメラで撮影したATMのキーパッド　出典

暗証番号入力後30秒以内に撮影された場合、暗証番号を特定できる可能性は50%だといわれています。サーモカメラは、明るい部分と暗い部分がそれぞれ高温と低温であることを表す熱画像を生成するもので、もともと建物内の隙間風の出所を調べるために使用されるものです。それが、最近になって暗証番号の盗むためにも使用される可能性が指摘されています。とはいえ、ここでお話しするのはあくまでもこのような研究がされているということで、幸運にも今現実に起きている攻撃ではありません。

以前サーモカメラは数万ドル以上する高価なものでしたが、ここ最近は小型化、低価格化がすすみ、一般的な価格は約200～300ドル（日本円で約28,000～42,000円）となっています。また感度（わずかな温度の違いを検出できる機能）のレベルもさまざまです。たとえば、高価なプロ用の機器で撮られたもの上の写真には、押されたボタンだけではなく、ボタンの温度差も可視化されるため、押された順番もわかります。ボタンの温度が高いほど、後に押されていると考えられます。

しかし現実的に考えると、ATMのキーパッドでサーモカメラを使用するのはそれほど容易なことではありません。また画像はできるだけ早く撮影する必要があります。上の写真は、暗証番号を入力したほぼ直後に撮られたものです。入力が行われてから画像を撮るまでにかけられる時間は、長くても約90秒です。ただしその場合でも窃取に成功するとは限りません。たとえば、被害者になりうる人が手袋をしていた場合、ボタンに熱が残ることはありませんし、暗証番号に同じ数字が1つまたは2つ含まれている場合も番号を特定することは困難です。

研究者は、パラメータを少しずつ変えながら合計54回の実験を行いました。指で押した部分の熱の解析は、手動と自動の両方で行われました（後者の方がわずかに優れた結果となりました）。結果、押されたボタンの特定に成功した確率は50％でしたが、暗証番号を正確に特定できたのはわずか10%以下でした。4桁の暗証番号の組み合わせは、10,000通りあります。暗証番号に使われた数字さえ特定できれば、その順番を導き出すのに、24通りの数の組み合わせを試せばよいと考えることもできます。しかし、実際にATMを使う場合、３回間違えるとキャッシュカードは自動的にロックされるようになっています。

熱画像とスマホ

スマホも熱画像を悪用した攻撃を受けやすいデバイスです。これは2017年の研究 で指摘されています。その際に公開された画像は以下のとおりです。

スマホのロックを解除する際の正しいPIN番号、指の動き、熱分布の様子　出典

攻撃が成功するかどうかは、暗証番号やPINが入力されてから、どれだけ早く熱画像を撮影できるかにかかっています。ただスマホの場合、ATMとは異なり、個人の私物であるため画像は撮影しづらくなります。しかし、適切なタイミングで画像を撮影するのは不可能ではありません。

2017年にはデータ解析技術は向上し、2011年のATMの実験と比べてスマホでの実験の成功率は高くなりました。研究の結果、入力直後の熱画像からPINを正しく特定できた確率は89%でした。スマホのロック解除から30秒以内に画像が撮影された場合には、78%の確率で暗証番号を解読できました。60秒以内に撮影された場合は22%という結果でした。ちなみにこの方法ではパターンロックの特定は困難です。しかし、熱痕跡で特定はできなくとも、画面に残った指の汚れから非常に簡単に推測できると指摘する声もあります（英語記事）。

熱画像とキーパッド

さて、ATMとスマホで共通していることは何でしょうか？答えは、どちらも短い数字の組み合わせを入力するという点です。熱を利用したスパイ行為が可能かどうか、実際にテストするには、キーボードに入力された英数字のパスワードでテストをするのが最善の方法です。スコットランド、グラスゴー大学の研究チームによる実験の結果はこちらをご覧ください。サーモカメラで捉えたキーボード全体の様子は以下のようになります。

キーボードを使用した後の熱分布の様子　出典

明るく光る箇所は、キーを押した熱の痕跡を示します。この実験では、パスワード入力から一定時間経過した後、パスワードが正確に特定できるか否かテストされました。熱画像のスナップショットは20秒、30秒、60秒の間隔で撮影されました。パスワードの長さという新しい変動要素もありますが、何より重要なのは、研究者が機械学習（ML）アルゴリズムを適用したことです。キーボードの数百の画像とよく使われるパスワードのパターンを読み込ませ、訓練したMLアルゴリズムは、パスワードの特定実験で優れた結果を示しました。そのパフォーマンスを要約したのが以下の表です。

パスワードを特定できるか否かは入力後～熱画像撮影までの時間、パスワードの長さなどの要素が関係する　出典

驚いたことに、16文字の長いパスワードであっても、MLを使えば50％の確率でパスワード特定が可能という結果でした。どんな手口であれ大切なパスワードを盗まれないようにするためには、パスワードは長いものにし可能であれば特別な パスワードマネージャーソフトウェアで生成することをお勧めします。

この実験からは予想外の発見もありました。キーボードの素材である合成樹脂の種類によっては、その他の種類のものよりも熱を帯びにくいということも明らかになりました。また、キーボードにバックライトが付いているかどうかも要因の一つです。ボタンに触れた指以外の熱によって（それが組み込みのLEDであれノートPCのキーボードの下にあるCPUであれ）、熱痕跡は判別できなくなります。さらにもう一つのポイントは、パスワードの入力スピードが速ければ速いほど指の熱はキーボードに残されにくくなり、画像に痕跡が表れにくくなります。

熱画像を利用した攻撃の可能性

この質問に対する普遍的な答えはありません。個人のスマホデータは、誰かがサーモカメラを持って個人をつけまわすほど重要な情報でしょうか？この攻撃はそれほど容易に実行できるものではないため、一般の人が標的になる可能性は低いとみられています。反対に、機密性の高い情報に対する標的型攻撃の一部として使われる可能性が考えられます。

それでは、どのような対策が必要なのでしょうか。暗証番号を入力するときには、厚い手袋をして入力をすること、キーボードの場合は、バックライト搭載のもの使用することや、パスワードを入力する際に余計なキーをさわるという方法も効果的です。

2022年、熱画像攻撃に関する研究のメタ分析が公開されました。これは、この種の攻撃がどの程度現実的な脅威であるかを理解することを目的としたものです。それによりますと、熱画像攻撃はさほどコストをかけずに実行可能であり、脅威モデルを構築する場合はこの種の脅威を考慮する必要があるとしています。近い将来この問題が深刻化する可能性が低いとしても心構えをすることは大切です。ここで強調すべき点は、パスワードは入力しなければ盗まれることもないということです。

以前、パスワードレスな未来？というブログを掲載しました。熱画像攻撃の脅威は、現時点ではパスワードをなくす直接的な理由にはならないかもしれません。しかし、私たちがパスワードを入力しなくなれば誰もサーモカメラを持って情報を盗もうとは思わなくなります。顔認証や指紋認証ができれば、パスワードを入力する必要もありません。ハードウェアのセキュリティキーを使用する場合もパスワードは入力しません。パスワードに代わる認証方法にも弱点はありますが、どちらかといえば、パスワードを使用する方がリスクが高いといえます。実際、現代のパスワードレス認証システムは、フィッシング詐欺師を窮地に追い込んでいるのです。