在宅ワーカーに影響ある?「テンペスト」の脅威 ~セキュリティリテラシー
1.セキュリティの知識に少しずつ慣れる
みなさんこんにちは。”フカンして・みると”です。
私自身の実体験として、ハッキング被害などが現在進行形で続いていまして、いくつかの記事にしています。
そんな日々だからこそ疑心暗鬼になったり、自分の不安を解消しようと、ああでもないこうでもないと、調べたり勉強したりしました。
そういうネット生活の日々を書いた先行記事はこちら↓
さて、セキュリティリテラシー。
昨今のネットやSNS時代で、一般人でもセキュリティを意識したり学んだりする必要性が日に日に高まっていると痛感しています。
そういったセキュリティリテラシーに関して今回ご紹介したいのは、
「テンペスト」技術です。(tempestとは「大嵐」の意)
今後ますますセキュリティ意識を高めることが求められていく生活でも、この知識は少々重め。
従来の日常生活では意識しないけど、かといって日常からまったくかけ離れた非日常の別世界ではなくなってしまったボーダー上の脅威。
いったん狙われると、気づかぬ間に盗み見や盗聴の対象に?
特に在宅ワークなどが多くなるであろうnoterの方々には、一見いただけたらと、ピックアップしようと思いました。
そういった課題と関連する技術について紹介していきたいと思います。
2.テンペストとは? ~NHKニュースなど
今から数年遡って2021年というコロナ禍のさなかに、NHKニュースの特集で取り上げられた「テンペスト」技術。
いわく、”テレワークの広がりで、古くて新しい脅威として再び認識する必要が高まっている。”
“テンペスト” それは都市伝説なのか | NHK | WEB特集 | IT・ネット
・・東西冷戦下、諜報活動で活発に使用されたとされる情報窃取の技術・・
漏えいした電磁波を傍受して解析することで情報を盗み取る「テンペスト」と呼ばれるその技術。
コロナ禍の今、私たちの身の回りの情報が、その技術で盗み取られるリスクがひそかに高まっているという。
(科学文化部 記者 黒瀬総一郎)
「スピーカーフォン」
パソコンに接続して使う小型スピーカーとマイクが一体となった機器だ。
コロナ禍で、在宅でのテレワークが長期化する中、ウェブ会議などで利用が増えているこの機器が、狙われるおそれがあるというのだ。
誰でも手軽に「テンペスト」可能に
そして、コロナ禍のいま、さらに「テンペスト」の危険性が高まっているという。
奈良先端大の林教授は、10年前と比べて、傍受した電磁波の中身を解析する装置の能力が飛躍的に高まり、容易に手に入るようになったことを理由に挙げる。
かつては車に積むような大がかりな装置を専用のプログラムで動かし、価格は5000万ほどもした。
ところが、今は10万円ほどで、かばんに入る小型の装置が手に入るようになった。キットは、秋葉原でも購入できると言う。
さらに、電磁波が弱くても、パソコンのプログラムでフィルターをかけるなどして狙ったデータだけを正確に、解析出来るようになった。そうしたプログラムはネット上に公開されていて、誰でも入手できる。
最近では、通販で売られている、2000円ほどのチューナーでも、プログラムで制御することで、精度は高くないものの、電磁波の傍受や解析が出来るとのことで、敷居はさらに下がっているという。
奈良先端科学技術大学院大学 林優一教授
「一昔前は、屋内で使用する電子機器を、外との距離を取ることが有効な対策だったが、今では建物から少し離れた車の中などからでも傍受して解析できるようになってしまっている」
官公庁や企業からの相談を受け、電磁波の漏洩リスクの診断など、テンペスト対策の技術開発を行っているNTTアドバンステクノロジ。
担当者は「テンペストでは電磁波の傍受の痕跡が残らず、被害が明るみに出ないため、都市伝説的に語られがちだ。官公庁の必要な対策は行われているものの、一般にはまだ脅威が認識されていない」と指摘する。
実験では、対策をしない場合、端末のモニターの画像は、壁を一枚隔てたとしても、計算上、最大で163メートル先から傍受が出来てしまうことが分かった。
NTTアドバンステクノロジ 富永哲欣主席技師
「テンペストは、攻撃側が使用する機器の技術革新に加えて、漏えい電磁波を出す側であるコンピューター製品の機能の変化への対応もセキュリティー対策上、重要な観点で、今後もいたちごっこが続くと考えられる」
このNHKニュースで紹介されているNAIST(奈良先端科学技術大学院大学)の研究内容については、もともと以前聞いた覚えはありました。
ただ、自分がいろんな被害を実体験をする身になって、なおかつ在宅ワークが重点を占めるようになった変化があって、当事者意識をもって改めて同じ情報に接すると、こちらの受ける印象が全然違うというか、身に迫る実感として感じられます。
要するに、コロナ禍だけでなく現在もリモート会議とかでマイク使用を当然するわけですが、盗聴器の設置などなくとも一定の設備があれば、数十メートル以内なら盗聴傍受ができる技術ということですね!
さらに深刻なのが、PCやスマホあるいはTVなどのモニターに表示されている画像が数十メートル先から、盗み見れるということ!
そうなると、個人情報やパスワード、銀行残高といった個人にとっての機密情報はもちろん、在宅ワークでの付加価値情報や機密情報、個人の趣味嗜好なども漏洩しうるということ。
そして最近の急速な技術進展によって、比較的安価にしかも技術水準的にもプログラムなどがWEB公表されていて、かつては高額でスパイなどプロの業界にとどまっていたリスクが一般の生活に近づいた。
ちょっとした知識と費用と手間、なにより相手を害する意思さえあれば、素人の例えば学生でも手が届くようになってしまった。
これは、上述の自記事「ネット社会が少し怖くなる?体験談(現在進行形)」でも触れた「恒心教」と共通するメカニズムですね。
あの時は、「ウェブスキミング」の技術プログラムがWEB公開されていて出回っていたのが利用されたのでは?とのことでした。
そういえば、つい先日、中学2年生が自分のタブレットからハッキングを行ったというニュースもありましたね。
ウェブスキミングは、攻撃者が悪意のあるコードをウェブサイトに挿入し、ユーザーがWebページのフォームに入力したデータを盗み取る攻撃である。そのデータはその後、攻撃者の制御下にあるサーバーに送信される。
私自身があれこれ被害を受けたあとで見聞きすると、正直、実感がまったく違います。
もちろん、この技術による被害にあったかどうかなんて現時点で具体的に分かるわけではないけど、他人事とも思えなくなっています。
もしかしたら自分も?と。ありえなくもない感。
やっぱり人間、当事者意識あるかないかでの響き方が本当に違うよなと、この年齢になっても学ばせてもらっています。
決して望んででは、ない。やむにやまれず、ですけどね!
なお、テンペストについては、noteでも先行記事で取り上げていらっしゃる方がおられたので、ここで紹介します。
sheltemさんの”電磁波盗聴のまとめ”です。
3.テンペスト技術の種類などの具体的な内容
在宅ワークなどのセキュリティ確保の観点からは、テンペスト技術のターゲットとされた場合に、最も警戒すべきは、ディスプレイなどの画面情報ということのようです。
テンペスト技術とは?遠隔で不正に情報を傍受する技術への対策について|サイバーセキュリティ.com (cybersecurity-jp.com)
テンペスト技術の種類
テンペスト技術の種類について電磁波を発生するデバイスごとに分類して整理しました。
電磁波の強さ 情報の再現度 情報の重要性
ディスプレイの画面情報 強い 容易 大
キーボードの打鍵情報 弱い 困難 中
プリンターの印刷情報 弱い 困難 中
無線LANの通信情報 弱い 困難 中
やはり一番対策をするべき箇所はディスプレイです。
ディスプレイの特徴として、何も操作をしていなくても画面上には情報が表示され続けるという点があります。
一方、キーボードの打鍵情報やプリンターの印刷情報は一過性のものであり、検知することが難しくなっています。
このような理由により、テンペスト攻撃による対策は、ディスプレイに表示されている情報の漏洩対策が主要な課題となります。
ストーカー・ハッキング対策からは、テンペスト攻撃はあまり一般的ではありませんが、高度な盗聴やスパイ活動などで使用される、との相場観のようです。
ただし、上記2.でも述べたように、近年急速に一般の社会生活に近づいてくる傾向なので、われわれも多少認識を改めていく必要がありそうです。
テンペスト攻撃の技術とは?情報を盗む新たな手法を解説|ストーカー・嫌がらせ対策専門窓口 (fam-iyagarase.com)
どこから傍受されるのか?
テンペスト攻撃による傍受は、主に以下のような方法で行われる可能性があります。
ディスプレイ
パソコンのディスプレイから発せられる電磁波を傍受することにより、画面に表示されている内容を再現します。
画面が表示されている(ディスプレイの電源がついている)状態であれば、何の操作をしていなくても情報を盗み取られてしまいます。
キーボード
キーボードの場合は、接続されているケーブルから発せられる電磁波を解析することにより、打鍵内容を再現します。
Bluetooth接続のキーボードでは打鍵内容をテンペスト攻撃で傍受されないものの、Bluetooth接続もハッキングを受ける脆弱性を持つため注意が必要です。
プリンター
プリンターもキーボード同様に、接続ケーブルからの漏えい電磁波を傍受することで印刷内容を盗み見られてしまいます。
タッチパネル
キーレスの扉の施錠などに使われるタッチパネルも、漏えい電磁波を発するため入力内容を解析されてしまい暗証番号が漏えいしてしまう恐れがあります。
スマートフォン、タブレット
スマートフォンやタブレットも電磁波を発するため、漏えい電磁波を傍受されるとプライベートな情報まで盗まれてしまう危険性があります。ほかの電子機器と違い身近な存在であることから、最も漏えいのリスクを回避しなければいけません。
テンペスト攻撃は、特定のターゲットの電子機器から発せられる電磁波を傍受することを目的としています。
したがって、攻撃者はターゲットの近くにいる必要があります。
一般的な家庭やオフィスなどでの一般的な使用では、テンペスト攻撃はあまり一般的ではありませんが、高度な盗聴やスパイ活動などで使用されることがあります。
4.テンペスト技術への対策
テンペスト技術への対策は、
「電磁波の漏洩をどのように防ぐのか」
「漏洩した電磁波の解読をどのように防ぐのか」
という2点が対策のポイントとなります。
シールドによる電磁波の漏洩をブロック
パソコンに対して電磁波を遮断するシールドで囲ったり、シールドが施された部屋の中で使用したりすることで、外部へ放射する電磁波を遮断させることができます。
しかし、シールドで完全に囲むことは難しく、費用も高くなります。
フィルタによる防御
パソコンにつなげるためのインターフェースやケーブル、電源線などに漏洩電磁波を低減させるフィルタを挿入する対策です。
しかしこの対策は各インターフェースから発生する電磁波の周波数に合わせたフィルタを用いることが必要であり、PC本体から発生する電磁波に対しては効果がありません。
そして物理的なケーブルか線が存在するデバイスでのみ使用可能です。
たとえばノートPCではディスプレイが本体と一体化しているため、この方法は適用できません。
テンペスト対策用のフォントの使用
テンペスト技術の対策を目的としたフォントがあります。
漏洩電磁波による盗聴対策として、特殊な形状をしているフォントです。
フォントによる対策は安価ですが、人間にとっても視認性が悪くなったり、画像や図に対しては全く効果がなかったりという問題があります。
妨害電磁波によるマスキング
パソコンや電子機器から発生する電磁波よりも、強い放射レベルの電磁波を放射することで、マスキングさせることができます。
マスキングさせる機器の調整が難しいという特徴がありますが、比較的安価に導入させることができ、モバイル環境でも高い効果が得られる対策の一つとなっています。
テンペスト攻撃への対策を紹介してきました。
ここで紹介した対策は、対策効果やコスト、適用性などに大きな違いがあり、導入にあたっては、それぞれの特徴をよく吟味して総合的な観点から選択することが重要です。
電磁波を防ぐシールド効果のあるカバーなどで覆えば対策は可能のようです。ただし、要するに金属製のシールドで覆うわけなので結構単価は高いし、かさばります。
もともと機密防護目的で部屋の壁面などに電磁波対策が施された金融機関や、研究室などの特別仕様であればまた別ですが、いざ対策となると、一般家庭ではなかなか難しい面もありそうですね。
スマホなら、サイズも小さいのでそれなりで収まるかもでしょうけど、大型ディスプレイなどは相応の手間とコストかと。
以上のように、テンペスト技術のターゲットとなった場合の課題と対策をご紹介し、問題意識を共有してきましたが、なかなか一般家庭にとって対策は負担が重いようです。
まあ、本気で狙われてしまったら、ハッキングでも何でも個人にはすごく負担になるには違いなく、現に私自身が日々痛感しています。
何度めかの繰り返しですが、ある程度の設備と技術を要するため、従来は高度な盗聴やスパイ活動などで使用されてきており、今はまだそこまで一般的ではないようです。
とはいえ、機器技術の進歩によってハードルは下がってきているため、そんなに珍しい情報窃取の手口ではなくなってくるかもしれません。
もちろん過剰な警戒は不要ですが、在宅中心のワーカーも多いと思われるnoterの方々が、知っておいて邪魔にならないセキュリティリテラシーと思い、今回紹介させていただきました。
(了)
学びの還流🔁とナレッジ共有📖につなげるべく書籍代等に使用します。 ただ当面は、現在進行形でハッキング被害等でネットワーク周りなどの更新に苦慮しております。セキュリティ対策費に優先的に充てさせていただきます!