とあるスマホケースでクレジットカードのパスワードを簡単に解析する方法とその対策

油断もスキもありゃしない。

街でカードを使うことはだんだん増えているのではないでしょうか。最近はクレジットカード(デビッドカード)の買い物では、パスワードを打ち込むだけでサインいらずな場面も多くあります。でも、ATMでは現金を得るためにパスワードの入力が必須です。カードとパスワード、この2つが合わさることで本領を発揮するわけですが、そのパスワードがこんなに簡単に盗まれてしまうとは…。この動画では、その恐るべき手口とその対策を講じています。

まずは、動画の0:20〜0:45を見てみてください。ショートパンツの女の子がカードで買い物をして、パスワードを打ち込みました。さて、その後ろに並んだボーダーTシャツの男性。いつ、パスワードを盗み見たかわかりました? あっという間に簡単にスマートフォンを使ってパスワードを取得しているのです。

パスワード泥棒に使ったのは、最近新しく発売されたiPhoneケースFLIR ONE Camera。これはiPhoneに接続することでサーモグラフィカメラとなるケースです。サーモグラフィカメラなんてものが、小型化と価格低下によってこんなに手軽に手に入れられるようになりました。技術の進歩は素晴らしいですが、必ずどこかで悪用する奴もでてきます。

FLIR ONE Cameraケースを使えば、例えばソファのどこに人が座っていたかわかります。壁のどこを触ったかわかります。人の体温がそこに残るからです。つまり、キーパッドにパスワードを打ち込んだ後、サーモグラフィカメラでみると下のように見えるわけです。

とあるスマホケースでクレジットカードのパスワードを簡単に解析する方法とその対策 1

赤い方が熱い、つまり直近で触れたということ。これから推測するに「1 2 3 4 5」という順番で数字を押したことがわかります。動画に登場するMark Roberさんがリサーチしたところ、このサーモグラフィを使ったパスワード推測は入力後直後にカメラで見た場合正解率80%を記録しました。さらに入力後1分後でもまだ50%の精度を持っています。

キーパッドに見えないカヴァーが付けられていようが、背中で覆って隠そうが関係ありません。あなたが使用した後、あなたの残した熱でパスワードは盗まれてしまうのですから。パスワードさえ入手してしまえば、あとは、鞄をひったくってしまえばカード使い放題です。まさか、すでにパスワードが盗まれたなんて思ってないでしょうしね。踏んだり蹴ったり。怖い、なんとも怖い。

しかし、このパスワード泥棒にも対応できる方法があります。まず、金属のキーパッドの場合、このサーモグラフィを使った窃盗方法は使用できません。とはいえ、まだプラスティックやゴムのキーパッドは世の中にたくさんあります。ではどうすればいいのか。とても簡単なことです。最後に全部のボタンに触ればいいだけ。または、パスワードを入力する時に、他のボタンも一緒に触り、後に残る体温を意味のないものにすればいいのです。

とあるスマホケースでクレジットカードのパスワードを簡単に解析する方法とその対策 2

実に簡単で誰もができる対策方法。どこか頭のスミにでもいれておいてください。ハッカーや泥棒が賢くなっていくならば、こっちだって対策しなきゃ。

source: Mark Rober

Brent Rose - Gizmodo US[原文

(そうこ)