スマートフォンには、多種多様なセンサーが搭載されています。それらは機種によって異なるのですが、たとえば現在地情報を測定するGPS、動きや傾きに反応する加速度センサー、垂直/水平の傾きを検知するジャイロセンサー、明るさを測る照度センサー、気圧や温度、湿度を検出するセンサーなどがある。一部のアプリは、これらのセンサーにアクセスすることで、さらなる利便性や娯楽をユーザーに提供しているのです。「スマートフォンを傾けて玉を転がすゲーム」のアプリは、その一例といってもいいでしょう。しかし、スマートフォンのセンサーを利用する方法は「アプリにコードを書き込む」以外にもあるのです。そのひとつが、ブラウザー上でJavaScriptを使用する方法です。今回、Mehrnezhad博士の研究チームが発表したのは、「PINLogger.js」というJavaScriptのコードによる攻撃だったのです。これはJavaScriptを使ったウェブページをブラウザーに表示させることで、ユーザーに気づかれぬままモーションセンサー(加速度センサーやジャイロセンサー)にアクセスし、入力されるPINコードを「盗み見」しょうと試みるコードです。同研究チームの論文の中では、攻撃のシナリオとして4つの例が挙げられています。ひとつめは、悪意ある広告やコンテンツが「iframe内に表示される」ケースです。この例では、ユーザー名とPINコードを尋ねるウェブページがブラウザーに表示されていて、同じページの中に「iframeを利用した小さなバナー広告のようなもの(赤い丸で囲われた部分)」が埋め込まれているのです。攻撃コードは、この枠の中で働きます。つまり、ユーザーが「悪意のない真っ当なサイト(ただし、サイトの運営者が意図しているかどうかに関わらず、iframe内の広告などを利用して悪質な攻撃が実行されている)」で入力したPINコードが読み取られてしまうケースを想定しているのです。