要注意!!ZoomやSkype通話でパスワードが盗まれる危険性

テキサス大学サンアントニオ校のモード・サブラ氏、マーツザ・ジャドリワラ氏、そしてオクラホマ大学のアニンドヤ・マイチ氏がまとめた論文「Zoom on the Keystrokes: Exploiting Video Calls for Keystroke Interference Attacks（Zoomでのキーストローク：キーストローク干渉攻撃のためのビデオ通話の悪用）」によると、録画が行われるすべてのビデオ会議に対して攻撃を仕掛けることが可能だそうです。

つまりYouTubeなどで公開されている動画やライブストリーミングも攻撃の対象へとなる可能性があると3人の研究者は論文で指摘しています。

では攻撃はどのように行われるのでしょうか。

攻撃者に必要なのは最低でも720p（できれば1080p以上）撮影が可能なWebカメラとコンピュータープログラムだけです。

あとはZoomやSkypeで話している相手の動画を録画しつつ、コンピュータープログラムを使って背景を消します。プログラムは相手の顔を参照点とし腕や肩の動きを測定します。

 Zoomなどをパソコンで利用する際ほとんどの場合Webカメラはディスプレイの上部中央に位置しています。そのため肩や腕が写り込むケースが多いそうです。

撮影と測定を終えると、プログラムはコマごとに腕と肩の位置の違いを解析します。

すると標準的なQWERTYキーボードを使っている場合、どのキーをタイプしているかがほぼ正確にわかるそうです。

入力キーが判明したら、プログラムは次に膨大な数の英単語と、パスワードによく使われる文字列のリストと照合、相手が入力したパスワードを割り出します。

腕の動き、動作状況にてどのキーボードを打っていて打っている個所の多さから予測して分かるかもしれないという事ですね。

ノートPC、Webカメラ、椅子しかない環境で、事前に選択した300ワードの中からランダムに選んだものを入力するという実験を20回行った結果ですが、プログラムは約75％の精度でパスワードを割り出しました。

ただし研究者らがそれぞれの自宅で自分の好きなパスワードを適当に入力するという実験では、プログラムの正答率はわずか20％程度でした。

だが一般によく使われる100万個のパスワードのうちのひとつを使っていた場合、正答率は約75％に跳ね上がったそうです。

研究者らは攻撃者が相手のメールアドレスや氏名などを知っていれば、Zoomなどでの会話中に相手がそれを入力すると90％以上の確率でわかるため、「次に入力するのはパスワードだろう」と推測できてしまう、と警告しています。

ではどうすればパスワードなどの情報が盗まれるのを防げるのでしょうか。研究者らはいくつかのアドバイスをしています。

・長袖を着る。ノースリーブよりも、長袖のほうが腕や肩の動きがわかりにくい。

・肩にかかるものを身につける。髪が肩に触れていると、プログラムが正しく解析できない。ヘッドホンを肩にかける、またはスカーフを巻くのも効果的。

・タッチタイピングを身につける。10本の指を動かすタッチタイピングだと、キーの判別がしにくい。

・キャスター付きの椅子に座る。身体全体が動いていると、肩や腕の動きが検出しにくい。

・照明を暗くする。

・自分のWebカメラの解像度を落とす（ただしこの場合、画像が見えにくいという別の問題が生じる）。

一番いいのはパスワードを解読しにくいデタラメな数値を入れるのがいいのかなと思います。今回のZoomだけではなく、アカウント関連はハッキングされたりしてしまうとかなりややこしいです。

だた防ぐことはできるのか？

非常に難しいと思います。忘れないようにしなくてはいけないし覚えやすいパスワードを入力すると解析されやすくなってしまいますし複雑です。

面倒な作業かと思いますが、定期的に変更したりするのも一つの方法だと言われています。

ただ忘れないようにメモしたりしていきましょう。