世界のセキュリティベンダーのブログから、気になる話題をピックアップして紹介する。今回はまず、スマートフォンに搭載された、端末の角度や角速度を計測するジャイロスコープを使った盗聴手法という話題だ。米シマンテックが、盗聴手法に関する論文をブログで紹介している。従来、プライバシーを侵害するスパイウエアは、モバイル端末に内蔵されているマイク、カメラ、GPSなどを通じて情報を収集するものが多かった。

 ジャイロセンサーは、小さい振動板とチップを用いて構成され、コリオリの力(転向力)から傾きを検出する。振動板は、音によって生じる非常に短い空気振動も検知する。米スタンフォード大学のDan Boneh教授らによる研究者チームは、「Gyrophone」と呼ぶカスタムな音声認識プログラムを作成した。同プログラムはジャイロセンサーが拾ったノイズを解読し、実際の言葉に変換する。

 被験者に母音「O」と1から10までの数字を読み上げてもらったところ、Gyrophoneは約65%を認識した。84%の確率で話している人が男性か女性かを判別し、5人のグループから話者を特定できた確率は最大65%だった。

 研究者によると、ジャイロセンサーがマイクのような盗聴能力を持つようになるにはまだ長い道のりが必要なため、ユーザーはすぐに心配する必要はない。研究者チームは、このようにジャイロを利用した盗聴の可能性を実証したかっただけだという。しかし技術は急速に進むこともある。

 さまざまなセンサーへのアクセスを容認することは時として危険を伴うため、モバイルユーザーは、不審なアプリケーションが端末のマイクへのアクセスを要求してきたら疑うよう常に忠告されている。しかし、iOSあるいはAndoroid端末でも、ジャイロは特にパーミッションを求めなくても簡単にアクセス可能だ。

 人間の発話の周波数帯域は80ヘルツから250ヘルツの間で、Androidはジャイロからデータを取得できる周波数を最大200ヘルツとしている。つまり、ほとんどの発話が検知される。iOSは最大100ヘルツと、より厳しい制限を設けている。「Firefox」ブラウザーは200ヘルツまで、一方「Chrome」と「Safari」ブラウザーは20ヘルツにとどまる。もし攻撃者がAndroid端末上の会話を聞きたいなら、ユーザーをFirefoxブラウザーから不正なWebサイトにアクセスさせればよい。

 思いがけないセンサーが不正な行為に使われる可能性が示されたのはこれが初めてではない。スマートフォンの加速度計も、ハードウエア固有のIDを作成するのに使われたことがある。ハードウエアIDはネットワーク上でハードウエアを特定するのに使われるが、そばにあるキーボードでの入力を読み取ることにも利用されてしまう。