Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

持ち物認証を考えさせられた。

2017年11月24日のengadgetさんの記事に詳しいレポートが書いてあり、興味をそそられた商品が、Diper IDという技術です。日本のグローブブランドであるEVOLGとDiper IDが共同開発した技術のようですが、寒い冬に手袋を外すことなくTouch IDの指紋認証を行える、この便利な商品は、多要素認証について考えさせます。

 

japanese.engadget.com

商品の詳細については、上記の記事を見て頂ければと思いますが、商品概要は、手袋の指先が電導性繊維の擬似指紋(それぞれに独自パターン紋様)となっており、Touch IDに正規に登録すれば、手袋をつけたまま認証を行うことが出来るという画期的な技術(商品)です。寒冷地の自動車の中(暖房が効くまで)や自転車を利用している方だと重宝しそうですし、今からだとスキーやボードの方も相当欲しい商品かも知れません。

 

東急ハンズやロフト、Amazonでも売っているようです。この擬似指紋シール、少し考えさせられました。擬似指紋部分は独自パターン紋様となっているのと、Touch IDの指紋登録は本人が操作しなければならないので、セキュリティ観点では、一見問題がないように思いましたが、少し考えると脆弱な部分がありそうでした。

登録済みの擬似指紋(Diper ID)のシールをはがし他の擬似指紋パターンとすり替えたり、そもそも擬似指紋付のグローブごと盗んでしまえば、Touch ID登録済みのiPhone操作ができてしまう可能性があります。つまりこの商品技術により、多要素認証の基本的な考え方である、『記憶認証(パスワード等)』『持ち物認証(ICカード等)』『本人特性(生体認証等)』の3要素で、Touch IDがセキュリティ機能として提供していた『本人特性』は『持ち物認証』に切り替わる事を意味するのだと思います。

IC社員証やiphone自体は身に離さず持ち歩く事を気をつけるとしても、(擬似指紋がついた)グローブの管理が適当(ie:冬以外の季節に手袋はどう管理されているのでしょうか・・)だと、その技術が担保していたセキュリティは破られるかも知れないと・・・まで考える人は居ないのでしょうが、多要素認証の新しい方法(持ち物認証)が出てきたな、と感じる面白い技術でした。

 

更新履歴

  • 2018年1月2日 AM(予約投稿)