Malwarebytesは12月12日(米国時間)、「The sound of you typing on your keyboard could reveal your password|Malwarebytes」において、人工知能(AI: Artificial Intelligence)を活用することでキーボードのタイプ音からタイプしたキーを推定するサイドチャネル攻撃が開発されたと伝えた。

この攻撃手法はダラム大学のJoshua Harrison氏、サリー大学のEhsan Toreini氏、ロンドン大学ロイヤル・ホロウェイのMaryam Mehrnezhad氏が共同で執筆した論文「A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards」において、詳しく解説されている。

  • The sound of you typing on your keyboard could reveal your password|Malwarebytes

    The sound of you typing on your keyboard could reveal your password|Malwarebytes

新しい攻撃手法の概要

論文によると、この音響サイドチャネル攻撃ではスマートフォンのマイクを使用してノートパソコンのキーボードのタイプ音を録音し、深層学習モデルのトレーニングによってタイプ音を学習、分類する手法が取られている。

スマートフォンで録音したデータで学習した場合は95%の認識率を達成、ビデオ会議ソフトウェア「Zoom」を使用した場合でも93%の認識率だったとしている。Malwarebytesはこの高い認識率は、パスワードの特定やスパイ活動などにおいて悪用される可能性があると分析している。

この論文で使用された深層学習モデルは特定の機種のタイプ音に特化した学習がなされているため、同一機種を標的とする場合に高い認識率で攻撃可能とみられている。キーボードの種類を特定する深層学習モデルと、キーボードごとのタイプ音の深層学習モデルを複数用意することで、幅広いキーボードに対応した攻撃が可能とみられることから、将来的には商品化され実際の脅威となる可能性も指摘されている。

新しい攻撃手法の防御策

Malwarebytesはパソコンを利用する多くのユーザーに対し、このサイドチャネル攻撃を気にする前に基本的なパスワードの問題を気にするべきだとして、強力なパスワードの使用など基本的なベストプラクティスを先に実践することを推奨している。

基本的な対策を実践しているユーザーに対しては、このサイドチャネル攻撃への対抗策としてタイプ音を発生させないパスワードマネージャやより安全性の高いパスキーの利用を推奨している。