Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

生体認証システムは全て同じセキュリティレベルではない

いつも興味深い記事を掲載されている牧野さんの生体認証に関する(中国IT企業 百度の)記事が THE ZERO ONEにありました。

f:id:foxcafelate:20180310152824j:plain

 

the01.jp

生体認証は突破できるという内容を、いくつかの事例を持って説明している良記事ですが、特に指紋認証に関して45元(約750円)の「導電性シリコン」を使って突破したケースは、日本でも近いうちに同様な手法を使った攻撃がどこかで出てくる気がします。

ある意味スパイ映画が身近になってしまったことを改めて実感するのですが、中国では「導電性シリコン」が45元と安い材料になっている理由が、自動車学校での指紋認証(出席)の『代返用』として普及しているから、という部分も目から鱗でした。

その他の生体認証方式(虹彩、顔、静脈)については、認証方式そのものの技術的な脆弱性を突くのではなく、特徴点抽出(照合)をリーダ側で行っている部分を狙い、例えば正解の特徴点をセンサーに誤認識させる手法で、一部の生体認証装置を突破できることを説明していました。

一部のと書いたのは、記事中でも丁寧に説明がされていますが、例えば指静脈認証でも正解のパターンさえ手に入れられれば、モノクロレーザーの印刷物で突破できる可能性がありますが、

多くの静脈認証の生体活動認証技術とは、電流が流れるかどうかを検知しているだけだという。「ですので、指を2本置くとか、2点の導電性接点を触れさすとかすれば簡単に突破できます」。

生体活動認証技術として、例えば血流検知をしていれば、そうした攻撃は防げるのです。

但しサムソンのスマートフォンに搭載された顔認証にも生体活動認証技術が使われていますが、可用性を考えて環境依存となっている部分を突くことで写真でも突破できてしまった例もあるようです。

サムスンスマートフォンの顔認証には生体活動認証技術が使われています。しかし、私たちは明るさが充分ではない状況では、写真で突破できることを発見しました

 

生体認証技術の安い技術が高い技術とどの程度の差があるのか、そうした視点で消費者も考えるべきと言えそうです。個人的にはFinTech企業の持つ注目度の高い『認証技術』は・・・怖い気がします。(OWASPでもAPIの部分が一時期議論になっていたFinTech企業もありますが・・・)

灰灰が戒しめているのは、消費者の興味を引くだけの目的で、安価な生体認証システムを導入しているサービスは使ってはならないということだ。そのような低い意識で生体認証を扱っている企業は、生体認証データベースのセキュリティについても甘く考えている可能性が高い。もし、そこからデータ流出が起きてしまえば、もう一生安心して生体認証を利用することができなくなる。

サムソンの後に顔認証(FaceID)を出してきたAppleは、同じやり方では突破されてないようです。やはり生体認証のセキュリティは日進月歩であり、万全なものは無いかもしれませんが、センサー偽装が出来ないセキュリティ実装など、各ベンダーのセキュリティ実装も見据えての技術採用が求められていると言えそうです。

 

 

 

参考:FIDO(生体技術のセキュリティ度が極端に低いと・・・FIDO認定取れないと思います)

fidoalliance.org

 

参考:元記事(掲載図を見ると・・日本語記事よりもう少し突破法が想像できます)

www.toutiao.com

指紋認証のイラスト

 

更新履歴

  • 2018年3月10日PM(予約投稿)