May 27, 2009
論文: Defeat Spyware with Anti-Screen Capture Technology Using Visual Persistence
画面をCaptureする能力を持つスパイウェアに対抗する方法を提案した論文
Lim, J.,
Defeat spyware with anti-screen capture technology using visual persistence.
In Proceedings of the 3rd Symposium on Usable Privacy and Security (Pittsburgh, Pennsylvania, July 18 - 20, 2007). SOUPS '07,
vol. 229. ACM, New York, NY, 147-148. DOI= http://doi.acm.org/10.1145/1280680.1280701
「スパイウェアは、画面表示のとある一瞬しかcaptureしない」という想定での対策手法で、いわゆる人間の視覚特性である「残像」を応用した提案
- 上の図を説明すると、4という数字を3つの画像に分解し、それを交互に画面に表示する.人間の視覚には残像が残るので、4という文字が認知できるが,一瞬の画面表示しかcaptureしないスパイウェアには何を入力したのかがわからないという手法.
-- spywareが、なんらかのevent drivenにより静止画をcaptureするのならば、この方法でよいが、画面の様子を動画としてcaptureしたり、連続して静止画を記録する場合には保護できない...
- が、モニターのrefreshレートに応じて画像を記録するのは、計算リソースを少なからず消耗し、それゆえspywareが発見されるリスクが大きくなるから困難と想定(文献 3)
- 入力した文字を保護する手法というのが特許として出されていて,それを応用したもの(文献 2)
- サーバ側で画像を分解して、クライアントに送付する手法(いわゆるweb-base)なので、ブラウザやクライアントのin-memory hackingにも耐性があるとか、key/mouse loggerでも秘密は漏洩しない.またユーザの計算機にソフトウェアをインストールする必要もないとか...
- オンラインでのクレジットカード番号入力とかに良いと考えている
- 確かにユーザ側としては、なんの追加作業もいらないし、これまでと同様に画面を見て操作すれば良いので簡単だし、導入に対するユーザ側の負担は0に近いのは確か.