side channel attack

コンピュータのキーボードを叩く音を解析することで、入力内容を解析できる・・・！？

そんな驚愕の報告があるという記事を読みました。

記事によれば、タイピングの音を拾い、AI（人工知能）に学習させることにより、かなりの精度で入力内容を解析できるそうです。

想像したことすらありませんでしたが、キーボードのストロークにはキーによって音が異なるらしく、その違いを解析するのだそうです。こうした解析は例えばZoomやSkypeのようなコミュニケーションツールによりオンライン上で得られる音声でも可能であり、つまりはキーを叩く音を聞かれてしまえばパスワードも機密情報もダダ漏れということなのです。

Researchers in the UK claim to have translated the sound of laptop keystrokes into their corresponding letters with 95 percent accuracy in some cases.

That 95 percent figure was achieved with nothing but a nearby iPhone. Remote methods are just as dangerous: over Zoom, the accuracy of recorded keystrokes only dropped to 93 percent, while Skype calls were still 91.7 percent accurate. 

(Brandon Vigliarolo. Boffins say they can turn typing sounds into text with 95% accuracy. The Register. August 7, 2023.)

パスワードの漏洩に関しては、コンピュータウィルスの感染とか、ハッカーによる不正アクセス、近年ではソーシャルエンジニアリングと呼ばれる手口による不正な取得などがよく知られています。

一方、今回の報告にあるような、ターゲットとなるデバイス等への直接のアクセスに依らない情報窃取のことを、

side channel attack

と呼ぶそうです。日本語では「サイドチャネル攻撃」と訳されます。

"side channel"のチャネル（channel）とは経路のこと、即ちターゲットへの直接的なアクセスによらず、副次的な（side）経路による攻撃、ということです。

In other words, this is a side channel attack with considerable accuracy, minimal technical requirements, and a ubiquitous data exfiltration point: Microphones, which are everywhere from our laptops, to our wrists, to the very rooms we work in. 

To make matters worse, the trio said in their paper that they've achieved what they claim is an accuracy record for acoustic side-channel attacks (ASCA) without relying on a language model. Instead, they used deep learning and self-attention transformer layers to capture the sounds of typing and translate it into data for exfiltration.

(ibid.)

人を騙す手口、人のものを盗む悪知恵というのは次々と新手が編み出されるもの。

"side channel attack"についてはネットで検索すると小難しい用語や技術解説を交えたものが目に付きますが、最近のAIと組み合わせた、キーボードの音を拾う"acoustic side channel attack"はスマホなどを使えば可能とも言われており、えらい世の中になったものだと思います。