英国ニューカッスル大学のセキュリティ専門家は、現代のスマートフォンに内蔵されたモーションセンサーにより、悪意のあるハッカーが最大5回試行するだけで暗証番号を推測できるため、暗証番号ロックが実質的に無効になる可能性があることを明らかにした。
可能であればPINの使用を避ける
4桁、あるいは6桁のPINでさえ、GPUを活用したパスワードクラッキングツールを使えば、総当たり攻撃で簡単に解読できます。そのため、AppleとGoogleは、一定時間内にPINを入力してロックを解除できる回数を制限しており、それ以上入力すると再試行が可能になります。
PINの脆弱性、そしてそれを防ぐためにAppleがiOSに採用した保護メカニズムは、サンバーナーディーノ事件におけるFBIとAppleの争いの核心でもありました。FBIは、iPhoneの暗号化ストレージを保護するPINを総当たり攻撃で簡単に解読できるよう、Appleにこれらの保護を解除するよう強制しようとしました。
しかし、研究者によると、彼らが発見した攻撃は、その保護メカニズムでさえもはや十分ではない可能性があることを示唆している。この新しい手法を用いると、悪意のある人物は1回の試行で70%の確率で、あるいは最大5回の試行で100%の確率で暗証番号を推測できる可能性がある。
AppleやGoogleがPINの試行回数を5回以下に減らそうとした場合、スマートフォンユーザーにとってPINの使用は、特にPINを頻繁に忘れてしまう人にとっては面倒になりすぎる可能性があります。そうなれば、両社はデバイスの認証オプションからPINオプションを削除し、より安全なオプションのみを残すしかないかもしれません。
センサーベースのPIN攻撃の仕組み
現代のスマートフォンには、加速度計、ジャイロスコープ、気圧計、回転センサー、近接センサーなど、数多くのセンサーが搭載されています。これらのセンサーはゲームやフィットネスアプリにも活用できるため、誰もが持ち歩くデバイスとして非常に便利です。しかし、ニューカッスル大学の研究者が明らかにしたように、悪用を防ぐための適切な保護対策を講じなければ、セキュリティ上の問題を引き起こす可能性もあります。
研究者が特定した問題の一つは、GPSやカメラセンサーなど、ユーザーの許可を必要とするセンサーはごくわずかであるということです。残りのセンサーは、ユーザーの操作なしに起動できます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
これはGoogleとApple側の設計上の選択なのかもしれない。ニューカッスルの研究者によると、ほとんどのスマートフォンユーザーはGPS追跡やカメラの遠隔起動から生じるリスクしか認識していないからだ。
PIN識別攻撃が機能するのは、スマートフォンにおけるクリック、スクロール、ホールド、タップといったあらゆるタッチ操作が、固有の方向と動きの軌跡を生成するためです。デバイスからこうした情報にリモートアクセスできる攻撃者は、ユーザーがデバイスに入力するPINのプロファイルを作成することもできます。
OSベンダーへの警告
ニューカッスル大学の研究チームはこれらの問題についてGoogleとAppleに警告しましたが、セキュリティと使いやすさの間には常にトレードオフの関係があるため、すぐに解決策が見つかるとは思えません。デバイスをタッチするたびに許可を求めるのは明らかに非現実的ですが、両社は潜在的な攻撃者からユーザーの行動をさらに保護するための別の方法を見つけられるかもしれません。
この問題に関する研究を主導したマリアム・メルネザド博士は、スマートフォンでPINを使い続けると決めた場合に従うべきヒントをいくつか示しています。
PINとパスワードを定期的に変更し、悪意のあるウェブサイトがパターンを認識できないようにしましょう。使用していないバックグラウンドアプリは閉じ、不要になったアプリはアンインストールしましょう。携帯電話のオペレーティングシステムとアプリは最新の状態に保ってください。承認されたアプリストアからのみアプリをインストールしましょう。携帯電話でアプリが持つ権限を監査しましょう。アプリをインストールする前に、アプリが要求する権限を精査し、必要に応じてより適切な権限を持つ代替アプリを選択してください。
これらの提案はどれも面倒で価値がないと思われるかもしれませんが、おそらくその通りです。PINよりも強力な代替手段、例えばパスワードや指紋認証などを使い、PINを一切使わないようにするのが最善策かもしれません。
