バーチャル背景で隠したはずの背景が漏えい ~欧州研究チームの検証~
サイバーレジリエンス※今号は生成AIによってドラフトされた内容を
執筆者が編集してお届けしています。
コロナ禍でリモートワークが普及して以来、
当たり前に使っているWeb会議アプリのバーチャル背景、
当初から、企業のロゴを入れたり、
季節の風景を取り入れたりなど、
それ自体がユーザー自身の
アイデンティティを表す手段にもなっている様子が伺えます。
そのバーチャル背景について、
2025年5月11日(現地時間)に欧州の研究チームが、
「実背景復元」攻撃が可能であることを示す論文を発表しました。
当該の論文には、ZoomとGoogle Meetで検証した結果、
わずか2分程度の映像から部屋の壁ポスターや家具、
窓外の景色まで再構成できる例が報告されています。
研究チームは、人物セグメンテーション(前景マスク)
のフレームごとの揺らぎに着目し、
粗いリアルタイムマスクが毎フレーム微妙にズレるため、
数百フレームを統計的に重ねると
「漏れたピクセル」が実背景を
描き出してしまうことを示しました。
ZoomやGoogle Meetは処理負荷を抑えるため、
フレームをダウンサンプリングして人物マスクを推定し、
推定結果を元解像度に拡大して
背景と合成するという2段階の処理を採用しています。
その拡大時にできる境界の「にじみ」が
フレームごとに変動し、漏洩が蓄積します。
研究チームはZoomおよびGoogle Meetにおいて、
約2分間の会話映像を用いた再構成攻撃の検証を行いました。
その結果、背景漏洩は会話開始から10秒以内に顕著に現れ、
フレームが蓄積するにつれて漏洩範囲が拡大しました。
最終的に、Zoomでは背景の約1割前後、
Google Meetでは2~3割超の画素が
「実背景」として再構成可能であることが確認されました。
この研究は、仮想背景に依存したプライバシー保護が技術的に
不十分である可能性を示した点で大きな意味を持ちます。
特に企業や政府機関でのオンライン会議では、
背後に映る情報の重要性を再認識し、
仮想背景に頼らず物理的遮蔽(布幕、専用スペース等)
を併用することが推奨されます。
ZoomおよびGoogleは現時点で
本脆弱性に対するパッチ等を公開していません。
実務担当者は、背景に機微情報が
映らない運用ルールの策定が急務です。
※こちらは、執筆時点2025年5月22日での情報に基づいて書かれています。
従って、その後に明らかになった事などが
内容の充足度合いや正確さに影響を及ぼしている可能性が有ります。
弊社の社名となっている「レジリエンス」は
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく立ち位置を意味しています。
目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。
そして、弊社は、ITインフラとセキュリティの
プロフェッショナル集団として多数の実績を誇る
株式会社アイロバと密接なパートナー関係にあります。
同社は国産独自開発のソリューションも多数保有しています。
【メルマガ監修】
サイバーレジリエンス株式会社 CTO 米沢 和希
■CISSP-ISSAP(情報システムセキュリティプロフェッショナル認定)
■CISA(公認情報システム監査人)
■PMP (プロジェクトマネジメントプロフェッショナル国際資格)
******************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
******************************
投稿者プロフィール
