パスワードは「脳波」で推測できることが判明
コネクティビティ

Using Brainwaves to Guess Passwords パスワードは「脳波」で推測できることが判明

悪意あるソフトウェアが脳波を読み取り、パスワードや個人データを盗み出すようになるかもしれない。 by Tom Simonite2017.05.15

「エポックプラス(Epoc+)」は不満や興奮といった感情を検知して脳内の思考だけでロボットを操作できると謳う、800ドルの脳波検出用ヘッドセットだ。

アラバマ大学バーミンガム校のニテシュ・サクセナ准教授は、脳波をモニタリングするソフトウェアによって、暗証番号やパスワードを推測できることを明らかにした。脳インターフェイス・セキュリティの分野はまだ小さいながらも、研究者の間からは限定的な機能しかない現在のヘッドセットですらセキュリティの改善が必要だ、との報告が相次いでいる。

サクセナ准教授は、脳インターフェイスを通じて個人データが盗まれる可能性について、「現在のデバイスにもリスクがありますが、今後、デバイスが発達するにつれてさらに多くの不正行為が発生する恐れがあります。脳インターフェイスに関するプライバシーとセキュリティのモデルを考える必要があるでしょう」と話す。フェイスブックやイーロン・マスクが最近立ち上げたスタートアップ企業は、高性能な脳インターフェイスの開発に取り組んでおり、もっと大きなセキュリティリスクが付きまとうかもしれない(「イーロン・マスクとフェイスブックはテレパシーを実現できるか?」参照)。

エモーティブ(Emotiv)が開発したエポックプラスは、電極を備えたヘッドセットで脳の外側の電位変化を検知し、脳波記録(EEG:electroencephalography)として知られるアプローチをとる、一般に入手できる数少ない製品だ。エポックプラスは研究分野や医学分野で、ロボットの操作脳しんとうの診断に使われているほか、一般向けにゲームコントローラーとしても販売されている(「脳波はVRゲームのコントローラー代わりになるか?」参照)。

脳の信号だけで何を考え、何をしようとしているのかを読み取ることはできない。また、インターフェイスとしてヘッドセットがコントロールできるのも比較的簡単なことだけだ。しかし、アラバマ大学の実験により、脳波を使って個人情報を読み取れるという説に新たな証拠が加えられた。

アラバマ大学の新たな実験では、被験者が脳波ヘッドセットを装着したままプレイ中のゲームを中断してネット銀行口座にログインした場合、悪意あるソフトウェアが脳波を通じて個人の認証情報を傍受する危険性があるかを検証した。

実験の第一段階として、被験者がヘッドセットを装着したまま適当な暗証番号やパスワードを入力すると、ソフトウェアは被験者のタイピングの仕方と脳波の関連性を学習することが分かった。サクセナ准教授は、たとえばゲーム中にテキストやコードをユーザーに入力するように仕向ければ、実験以外でもソフトウェアに学習させていくことが可能かもしれないと話す。

200文字ほどの文字入力パターンを学習できれば、アルゴリズムは脳波データだけを使って、次にどのような文字が入力されるのか根拠のある推測ができるかもしれない。脳波データだけで入力パターンが推測できるなら、たとえば、悪意あるゲームをプレーしている人がゲームを中断してWebを利用した場合、個人情報を読み取られる可能性もある。推測できるデータは完璧とは言い難いものの、4桁の数字から成る暗証番号を推測できる確率は1万分の1から20分の1になり、6つの文字から成るパスワードを推測できる確率は約50万倍も増え、500分の1ほどになる。

アラバマ大学の研究について見解を問われたエモーティブの広報担当者は、個人情報の読み取りといった攻撃の実現は難しいだろうと答えた。入力される文字をソフトウェアに推測させる目的で繰り返し同じような操作を求めればユーザーは不審に思うだろうし、エモーティブではヘッドセット(ゴーグル)と接続されるソフトウェアはすべて検証した上で承認しているという。

しかし、脳波ハードウェアのセキュリティと関連するソフトウェアを調査している、アイオーアクティブ(IOActive)のセキュリティ研究者アレハンドロ・エルナンデス上級コンサルタントは、アラバマ大学の研究が立証するような攻撃は「100%起こり得る」と考えている。エルナンデス氏の研究では、現在使用されている脳波ソフトウェアのほとんどは設計があまり緻密ではなく、ハッキングを受けやすいことが示されている。

ワシントン大学の研究チームは、脳波ヘッドセットを使って個人情報を引き出す新たな手法を実証している。研究チームは、銀行のロゴマークのようなイメージ画像をサブリミナル手法で表示するゲームを作り、脳波による認知が検出された時に記録するようにした。チームメンバーのタマラ・ボナチ講師は、キャンペーン広告を装ったフィッシングに役立つデータを手に入れたり、性的指向に関する情報を引き出したりできるようになるかもしれないと話す。

ワシントン大学の研究チームが研究を始めた動機は、企業が一般の人々が使うWebやモバイル機器から膨大な量のデータを積極的に集め、広告のターゲティングなどに使っているからだという。

脳波データを入手できなくても、企業はすでにテキスト情報から感情表現の手がかりを探して一般の人々の感情の状態を推測している。また、オーストラリアン紙が掲載したリーク文書では、フェイスブックが感情の状態に基づいて10代の若者を割り出し、ターゲットにした広告を売り込もうとしていることが明るみに出た。チューリッヒ大学の倫理学者でもある弁護士は4月、「精神面のプライバシーを保護する権利」を含むニューロテクノロジーにまつわる新たな法的枠組みが必要だと述べた。

ボナチ講師は、脳波ヘッドセットを開発している企業はセキュリティ問題に今すぐ取り組むべきだと主張する。機械学習の発達に伴い、研究者は脳波データからますます多くの情報を引き出しやすくなっているからだ。「ここ数年で機械学習のテクノロジーは大きな変化を遂げており、これからも変化は続くでしょう」。