Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

破られない盾はない

指紋認証は古くから使われている生体技術が故に、安価で利便性の高い認証手段となりつつありますが、一方でその安全性を破る試みも長く続いていると言えるかも知れません。最新の超音波指紋リーダも脆弱性が報告されました。

pc.watch.impress.co.jp

 

画像投稿サイトimgurにとある投稿者が、ものの15分で指紋を複製し、スマートフォン指紋認証でログインできたという実証結果を投稿し、その脆弱性に警鐘を鳴らしている。

今回、セキュリティリスクがあるとしてハッキングの対象になったのはSamsungのGalaxy S10。同製品は超音波を使った指紋認証センサーを搭載している。この指紋認証センサーでは、3Dプリンタで複製した指紋を、本物の指と区別できず、模造指紋でも認証を通してしまうのだという。

(やじうまPC Watch記事より引用)

 

◆キタきつねの所感

自分の指紋を使ったテスト結果という事なのですが、3Dプリンタで通ってしまうか・・・と少し驚きました。

 

光学式の指紋リーダは、インクジェットプリンタや樹脂などで破られた報告事例がありますが、

gigazine.net

超音波式は2月発売の「Galaxy S10」で初めて搭載された技術だったかと思います。まさに最新の技術と言えるかと思うのですが、

 

クアルコムの記事を読む限り、3Dプリンタを使った攻撃にも耐えられるのではないか?と思う部分もあります。

japan.cnet.com

 

何年にもわたる試作と改良を経て、Qualcommは米国時間12月4日、音を使ってスマートフォンのロックを解除する指紋リーダーをついに発表した。「3D Sonic Sensor」と呼ばれるこの技術は、音波を皮膚に当てて跳ね返らせるもので、Qualcommはこのアプローチを安全で便利だと主張している。

(中略)

 Qualcommの技術は音波を作り出し、ユーザーの皮膚から跳ね返る音波の圧力値に基づいて、指紋をマッピングする。濡れた手や汚れた手で使用しても正常に機能し、金属とガラスを介しても指紋を読み取ることができる。音波は血流を検知することも可能で、切断された指の指紋は受け付けられないようになっている。

CNET Japan記事より引用)

3Dプリンタで破ったテスト映像を見てみたのですが、音波センサーをだましている部分の映像を見ると、「血流検知」があれば、防げそうな気がします。Qualcommのセンター機能としては血流検知まで出来るのだと思いますが、もしかするとGalaxy搭載の段階で、その機能は捨てられているという事も考えられるかも知れません。

 

端末のレビュー記事を見ると、Galaxy S10の指紋認証のスピードはかなり速い事が分かります。

www.businessinsider.jp

超音波式指紋認証センサーの特徴としてサムスンは、「認証速度の速さ」や、立体的に指紋を読み取ることによる「認証精度の高さ」などを挙げている。

発表会の実機ハンズオンでも、認証速度については、同社が主張しているとおりの速さを体感できた。光学式では、指が触れてから光を当てて光学センサーで読み取るという流れで認証までに1秒ほどかかる場合もあるが、それと比べると快適さは段違いだ。

(Business Insider記事より引用)

血流検知まで含めると、スピードを犠牲にするというのであれば、もしかすると機能が制限されているのかも知れません。そうだとすれば、ソフトバージョンアップで(多少スピードを犠牲にして)3Dプリンタへの攻撃対策を考えた仕組みに切り替える事も容易だと思います。

 

セキュリティ機器に絶対(安全)はない訳ですから、外的要因(攻撃の脆弱性)に対して、ソフトバージョンアップで対抗していく、そうした製品設計思想も重要ではないでしょうか?

 

çç¾ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月10日PM(予約投稿)