キーボード打鍵音から95%の精度でデータ盗む新たな音響攻撃
キーボードで入力されるデータを打鍵(キーストローク)音から盗み取ることのできるディープラーニングモデルのトレーニングを、英国の大学の研究者チームが実施。すると、打鍵音がマイクを使って録音されていた場合は95%の精度で、またZoomで録音された場合でも93%の精度で、入力データを予測することができるようになったのだという。このような音響攻撃が悪用された場合、人々のパスワードや会話の内容など、機微な情報が悪意ある第三者の手に渡ってしまう可能性が懸念される。
ディープラーニングモデルによる音響攻撃
研究チームはまず、データ予測アルゴリズムをトレーニングするための音声データを、ターゲットとなる人物の打鍵音から収集。この録音の工程はターゲットの付近に設置したマイクなどを使って行われるほか、マイクへのアクセス性能を持つマルウェアに感染させられたターゲット自身の携帯電話などを使って行われる場合もある。
研究者らは、MacBook Proのキーボードで36鍵のキーを25回打ち、各打鍵により生まれる音声を録音。その後、収集された音声データから波形およびスペクトログラムを作成し、これを使って画像認識モデル「CoAtNet」のトレーニングを実施した。すると、エポックや学習率の調整などを経て、最大95%の精度で入力データを予測することが可能になったという。精度が最高となったのはスマートフォンで録音したデータを使用した場合で、Zoom経由での録音だと93%、Skype経由でも91.7%の精度が記録された。
新たな音響攻撃への対策法は?
こうした音響攻撃への対策としては、以下のようなものが提唱されている。
・タイピングスタイルを変化させる
・ランダムなパスワードを使用する
・打鍵音を再現するソフトウェアを使用する
・ホワイトノイズを使う
・ソフトウェアベースの打鍵音フィルターを使用する
・生体認証やパスワードマネージャーを使い、パスワードなどの機微情報を手動で入力する必要性をなくす
近年高品質なマイクを内蔵したデバイスが増えていること、また機械学習が急速に進化していることから、上記のような音響攻撃は過去に想定されていたよりもはるかに危険性が増しているとされる。このため、組織は今後、音声ベースのサイドチャネル攻撃を現実的なリスクと捉え、適切な対策を検討していく必要があるかもしれない。
(情報源:BleepingComputer “New acoustic attack steals data from keystrokes with 95% accuracy”)
8月5,6日:その他の注目ニュース
ソフトウェアPaperCutにおける深刻度の高い新たな脆弱性を研究者らが発見(CVE-2023-39143)
The Hacker News – Aug 05 2023 04:13
サイバーセキュリティ研究者らが、Windows用の印刷管理ソフトウェアPaperCutに、特定の状況下でリモートコード実行がなされる可能性のある、深刻度の高いセキュリティ上の欠陥を新たに発見した。CVE-2023-39143(CVSSスコア:8.4)として追跡されているこの欠陥は、バージョン22.1.3より前のPaperCut NG/MFに影響を与えていて、パストラバーサルとファイルアップロードの脆弱性が組み合わさったものであるという。Horizon3.aiのNaveen Sunkavally氏によると、この脆弱性により、認証されていない攻撃者がPaperCut MF/NGアプリケーションサーバーに任意のファイルを読み込んだり、削除したり、アップロードしたりできる可能性があり、その結果、特定のコンフィグレーションでリモートコードが実行されうるとのこと。また、リモートコード実行に繋がるファイルのアップロードは、PaperCutの一部のインストールでデフォルトでオンになっている外部デバイス統合設定が有効になっている場合に可能だという。今年4月に悪用されていることが明るみになった別の脆弱性CVE-2023-27350と同様、今回の脆弱性も、攻撃者が悪用するために事前に権限を持っている必要はなく、ユーザーインタラクションも不要だという。ただし、悪用に至るまでの複雑さはCVE-2023-39143の方が勝っており、サーバーを侵害するためには複数の問題を連鎖させる必要があるとのこと。
関連記事:Cl0pランサムウェアがPaperCutにおける脆弱性を4月13日から悪用(CVE-2023-27350、CVE-2023–27351)
ファイブアイズの政府機関、昨年最も悪用された脆弱性に対する注意を呼びかけ(CVE-2018-13379ほか)
Security Week – Aug 04 2023 09:52
オーストラリア、カナダ、ニュージーランド、英国、米国の政府機関が、2022年に悪意ある攻撃で最も頻繁に悪用されたソフトウェアの脆弱性のリストを発表した。2022年を通じて、同機関は以下12件の脆弱性が頻繁に悪用されているのを観測した。このうちのいくつかは、何年も前からパッチが利用可能であるにもかかわらず、過去の攻撃でも使用されていた。
・CVE-2018-13379(Fortinet SSL VPN)
・CVE-2021-34473、CVE-2021-31207、CVE-2021-34523(Microsoft Exchange、「ProxyShell」)
・CVE-2021-40539(Zoho ManageEngine ADSelfService Plus)
・CVE-2021-26084、CVE-2022-26134(Atlassian Confluence)
・CVE-2021- 44228(Log4Shell)
・CVE-2022-22954、CVE-2022-22960(VMware製品)
・CVE-2022-1388(F5 BIG-IP)
・CVE-2022-30190(Windows、「Follina」)
またApache、Citrix、F5 Networks、Fortinet、Ivanti、Microsoft、Oracle、QNAP、SAP、SonicWall、VMware、WSO2、およびZimbraの製品における、他の30の既知の脆弱性への注意も呼びかけられている。ファイブアイズによると、昨年脅威アクターは主に、古い既知の脆弱性(概念実証/PoCエクスプロイトコードが公開されている欠陥を含む)に対するパッチが適用されていない、インターネットに接続されたシステムを標的としていたという。また脅威アクターは、より広範囲に影響を及ぼす深刻な脆弱性の悪用に重点を置いている可能性が高く、特定の標的のネットワークに影響を及ぼすバグを悪用することを優先しているという。
サイバー攻撃者は一般的に、開示から2年以内の既知の脆弱性を悪用することに最も成功しているので、タイムリーなパッチ適用を行うことで、脆弱性の有効性が低下し、サイバーアクターの活動ぺースが低下する可能性があるとのこと。