Apple Vision Proの目の動きによるセキュリティ脆弱性

Vision Pro は、その画期的な機能に対する賞賛とともに、特にその高価格とセキュリティ関連の問題に関して、かなりの論争にも直面してきました。

Vision Proは、全く新しいユーザーエクスペリエンスを提供するだけでなく、テクノロジーにおいても多くの注目すべき成果を達成しています。中でも特に印象的なのは、デバイスの視線追跡システムです。しかし、このシステムこそが、他のデバイスではかつて見られなかった新たなタイプのセキュリティ脆弱性の標的となるきっかけとなったのです。

研究者たちは、ユーザーの視線の動きを追跡するだけで、入力内容を判別できることを発見しました。AppleがVisionOSインターフェースの操作を可能にするために採用している原理は、意図せずして、驚くべき精度でユーザーを欺くツールとなってしまいました。具体的には、この研究によると、視線の動きを分析することで、研究者は最初の5回の試行で最大77%の精度でパスワードを推測できるとのことです。テキストメッセージの場合、その精度はさらに高く、92%に達します。

このエクスプロイトはVision Proデバイスを直接侵害する必要がない点に注目すべきです。ユーザーが仮想世界で自分自身を表現するために使用する仮想キャラクター（アバター）が、攻撃者が入力内容を解読するためのツールとなります。これらのキャラクターの目の動きを追跡・分析するだけで、機密性の高いユーザーデータを収集することが可能です。

幸いなことに、この脆弱性は今年4月に研究者がAppleに警告するまで悪用されていませんでした。Appleは7月下旬にvisionOS 1.3のパッチをリリースすることで対応しました。しかしながら、解決策はユーザーが入力中に仮想文字を無効にするという単純なものだったにもかかわらず、なぜAppleが問題の修正にこれほど時間がかかったのか疑問視する声が多く聞かれます。いずれにせよ、重要なのは脆弱性が修正され、ユーザーの安全が確保されたことです。

X [埋め込み]https://www.youtube.com/watch?v=IY4x85zqoJM[/埋め込み]

このセキュリティインシデントは、遠くから唇の動きを読んだり、画像を不合理な方法で拡大したりするなど、テクノロジーが不可能と思える偉業を成し遂げるSFの比喩を彷彿とさせます。しかし今回は、Vision Proの視線追跡機能が現代技術の潜在能力を真に証明しています。

Vision Proは、現在入手可能な拡張現実（AR）ヘッドセットの中でも最高峰と言えるでしょう。しかし、この事例は、新しい技術を開発する際には、メーカーは常に、その技術がもたらす新たなセキュリティ上の課題に向き合う覚悟を持たなければならないことを改めて認識させてくれます。

フン・グエン（PhoneArenaによると）