スポンサーリンク

ウェブ会議ツールの利用中、キーボードスヌーピング攻撃を防ぐためのヒント

今年はWeb会議ツールの利用が一気に増加しました。先月、Web会議中のキーボードの入力動作を分析することで、どのキーを押しているかを推測できるという研究論文が米国の大学から発表されました。本稿では、会議の参加者に入力内容を推測されないための3つのヒントをお伝えします。


 今年はZoomやMicrosoft TeamsといったWeb会議の利用が本格化しました。これまで以上に多くの人が自宅で仕事や学習をしているため、Web会議ツールは急速にリモート通信の主流の方法になり、ユーザーは接続し続けています。しかし、ボディランゲージを介してビデオ通話でパスワードを提供している可能性があることに気付く人はほとんどいません。トムズガイドの記事によると、参加者は、入力中の腕や肩を動かすことなどからパスワードを推測できるようです。先月、テキサス大学サンアントニオ校とオクラホマ大学の研究者により研究論文が発表されました。

 この脅威がどのように機能するかを理解して、Web会議で安心して接続を継続できるようにしましょう。

ハッカーがWeb会議ツールを使用して個人データをスワイプする方法

 キーボードスヌーピング、またはキーボード干渉の脅威は、攻撃者がビデオコールに参加し、ターゲットの体と生理学的特徴を観察して、入力内容を推測するときに発生します。この攻撃を成し遂げるには、ハッカーは会議またはビデオストリームを記録し、コンピュータープログラムを介してフィードする必要があります。このプログラムは、視覚的な背景を排除し、ユーザーの顔に対する腕と肩の動きを測定します。そこから、プログラムはユーザーのアクションを分析して、パスワードやその他の機密情報など、キーボードでどのキーを押しているかを推測します。

 さて、このプログラムはどれくらい正確なのでしょうか。これは、被験者が制御されていない環境で自分のデバイスを使用している場合、プログラムの正解率は20%だったことを示していますが、パスワードが最も一般的に使用される100万のパスワードの1つである場合、プログラムの精度は75%に向上しました。そして、プログラムがすでに彼らの電子メールアドレスまたは名前を知っていたと仮定します。その場合、90%の確率で、ターゲットがビデオハングアウト中にこの情報を入力していたとき(およびパスワードがすぐに続くとき)を解読できます。当然ではありますが、パスワードが複雑ではないほど、プログラムは入力内容を推測しやすくなります。

キーボードスヌーパーから保護するには

 入力したテキストには、クレジットカード番号、認証コード、物理アドレスなどのパスワード以外の機密情報や個人情報が含まれていることが多いため、”キーストローク推論”攻撃は潜在的に危険な影響を与える可能性があります。また、公共のビデオ共有/ストリーミングプラットフォームから取得したWeb会議やビデオは、この攻撃の影響を受けやすいことに注意することも重要です。

 Web会議の利用が増加する中、このようなリスクがあるため、会議の参加者に入力内容を詮索されないよう、3つのヒントをお伝えします。

1.堅牢で一意のパスワードを作成

 パスワードやパスフレーズを一意にすることで、キーボードスヌーパーに楽をさせないようにしましょう。今や大量にあるオンラインアカウントですが、異なるパスワードまたはパスフレーズを使用することで、アカウントの1つが脆弱になった場合でも、他のアカウントへの影響はなく安全であれば、落ち着いて事態を収拾することができます。同じパスワードやIDを使用している方はぜひ見直しすることをお勧めします。

2.多要素認証を使用

 2要素認証または多要素認証は、身元を確認するためにテキストメッセージや安全なコードの電子メール送信など、複数の形式の確認を必要とするため、セキュリティの追加レイヤーを提供します。Gmail、Dropbox、LinkedIn、Facebookなどの最も人気のあるオンラインサイトは多要素認証を提供しており、設定は数分程度で可能です。設定することにより、キーボードスヌーピングによってあなたの情報を発見した可能性のある犯罪者による、なりすましが成功するリスクが軽減されます。

3.パスワードマネージャーを活用

 McAfee Total Protectionに含まれているようなパスワードマネージャーを使用することで、セキュリティを次のレベルに引き上げることが可能です。パスワードマネージャーを使用すると、強力なパスワードを作成したり、多数のパスワードを覚える手間を省いたり、Webサイトに自動的にログインが可能になります。

最新情報を入手

 日々のニュースからの情報収集は重要です。またデジタルの安全性を維持するための情報やマカフィー製品に関する最新情報、および最新の消費者向けおよびモバイルセキュリティの脅威に関する最新情報を入手するには、Twitterで@McAfee_Home(US)または@McAfee_JP_Secをフォローし、ポッドキャストHackableをお聞きください。

 ※本ページの内容は2020年10月27日(US時間)更新の以下のMcAfee Blogの内容に一部補足しています。
 原文:How to Prevent Keyboard Snooping Attacks on Video Calls
 著者:Pravat Lall

元記事