手首や指のちょっとした動きがスマートウォッチによって捕捉され、入力している内容がハッキングされるかもしれない。たとえば、パスワードだ。

コペンハーゲンIT大学の大学院生はこのほど、ソニーの「SmartWatch3」を装着した手首の動きのデータを収集することで、別のキーパッドで入力された内容をかなりの確率で正しく解読できたという論文を発表した。

トニー・ベルトラメッリが「ディープ・スパイング」という概念の一例と呼ぶこの研究では、スマートウォッチを手首に装着したユーザーに、入力装置で数値コードを入力してもらい、そのスマートウォッチのジャイロスコープと加速度計にアクセスすることで、入力内容の解読を試みた。

取得したデータを機械学習（マシンラーニング）のアルゴリズムで分析したところ（詳しくはGitHubを参照）、「データのノイズが多いことは避けられない」ものの、そのデータからパターンを見つけ出すことができた、とベルトラメッリ氏は論文（PDF）において述べている。

修士課程に在籍するベルトラメッリ氏は、入力内容を傍受するこの方法を利用すれば、パスワードなどの認証情報、社会保障番号、クレジットカード番号を盗み取ったり、入力されているメッセージを解読したりができるようになると指摘する。

「ウェアブルであるという本質上、（中略）こうしたデヴァイスは、広大な新しい攻撃ターゲットを提供し、ユーザーのプライヴァシーなどを危険にさらすことになる」とベルトラメッリ氏は論文の要旨に記している。

この研究の目的は、「モーションセンサーを内蔵したウェアラブルデヴァイスに関わる潜在的なリスクへの関心を高めること、そして高度なニューラルネットワークアーキテクチャによってこれが悪用される場合があることを実証する」ことだったという。

ベルトラメッリ氏は、12個のキーを備えたキーパッドでこの手法を試したが、デヴァイスの背後で動作する機械学習アルゴリズムは、「未処理の生データを提供された場合でも、平均以上の正確さ」を獲得したという。

実験の結果、タッチ入力記録の正確さは73パーセント、キー入力記録の正確さは59パーセントだった。ただし、スマートウォッチが入力動作をしない方の手首に装着された場合は、どのキーが押されたかを検出することは「不可能」なようだ。

「このような観測結果は、サイバー犯罪者が、理論的には、ウェアラブルデヴァイスを装着したユーザーが別のデヴァイスを操作した内容をハッキングできる可能性があることを、とても印象深い形で示している」とベルトラメッリ氏は論文の結論部分で述べている。

関連記事：もはや他人事ではない：2015年からの、IoT時代のサイバー・セキュリティ