有名映画で登場する「認証」

……それでは講義を始める。
前回は架空世界での「パスワードハッキング」、いわば失敗譚を紹介した。「機動警察パトレイバー」、「サマーウォーズ」、そして「新世紀エヴァンゲリオン」の3作品の失敗譚だ。単純なパスワードは危険である、また強いパスワードでも力づくで破られてしまう危険性もある。詳しくは前回の講義を読んで各自気をつけるように。

>「架空世界 認証セキュリティセミナー」記事一覧

さて今回は一つの架空世界に登場する認証に絞って様々な認証を見ていこう。舞台となるのは「ミッション:インポッシブル」シリーズだ。

「なお、このテープは自動的に消滅する」

まずは基本データから。元は1966年から1973年まで放送された米国のテレビドラマシリーズで、日本でも1967年よりフジテレビ系列で放送された。その時の邦題は「スパイ大作戦」である。
米国政府が直接手を下すことのできない極秘任務を遂行する秘密組織「IMF (Impossible Mission Force)」のメンバーたちを主役として、様々なアクションドラマが繰り広げられる。有名なリーダーの「ジム・フェルプス」は第2シーズンからのメンバーで、他のメンバーはシーズンごとに入れ替わっているのも特徴の一つだ。「おはようフェルプス君。さて、今回の任務だが……」と言う出だしをご存知の方も多いのではないだろうか?
さて、「ミッション:インポッシブル」シリーズはこのテレビドラマ版のリブート作品。主演はトム・クルーズで、初のプロデューサーも務めた。IMFのエージェントチームが極秘ミッションを敢行するのはテレビシリーズと一緒だが、主役のトム・クルーズ演じるエージェント「イーサン・ハント」を中心とした構成に大きく舵を切ったのが特徴だ。
2017年現在、シリーズは5作品。毎回監督が違うのも特徴の一つだ。今回はシリーズ5作品の中に登場する「認証」の場面を1つずつ取り上げていこうと思う。なお、文章量の都合もあり、シナリオのネタバレはなるべくしない方向だ。未視聴の諸君も安心してほしい。
ちなみに2017年9月現在、Netflixで「ミッション:インポッシブル/ローグ・ネイション」を除く4作品、Amazon Primeビデオで5作品全てが配信されているので、気になった方は視聴してみると良いだろう。

指紋認証を突破するにはサーバーをだませ!

まずは第1作「ミッション:インポッシブル」。監督はブライアン・デ・パルマ
この冒頭で指紋認証を突破しなくてはならないシーンがあるのだが、当然エージェントたちの指紋はターゲットの指紋とは違う。そこでエージェント達は指紋認証を司るサーバーへ侵入し、認証情報を書き換えて突破する。通常、認証システムを突破するには、いかに認証システムをだますかと言う考えに陥りがちだが、そこはさすがIMFである。
iPhoneのTouch IDなどもそうだが、いくら認証システムが強固でも、その認証情報自体を書き換えられては意味をなさない。幸いiPhoneのTouch IDはセキュア・エングレーブという非常に秘匿性の高い部分に情報が書き込まれ、「ミッション:インポッシブル」のようにリモートで書き換えることもできないような設計になっているので安心だ。
余談だが、この第1作ではイーサン・ハントがデータセンターに宙づりになり、部屋の入口の認証や各種センサーをかいくぐってデータを手に入れるというシーンがテレビCMで盛んに用いられたので、覚えている方もいらっしゃるかもしれない。
あのシーンで端末への最終的な認証方法はパスワードだけだったのだが、もっと強力な認証をかけておけばイーサンは任務に失敗していたかもしれない……などと妄想してしまう。もちろん、そこにたどり着くまでに多重の認証があるからこそ、イーサンは宙づりで侵入したわけだが。
「ミッション:インポッシブル」における認証突破

声紋認証を録音した声で突破?

第2作「ミッション:インポッシブル2 (M:I-2)」は、ジョン・ウー監督による派手なアクションと緻密なストーリー構成で話題となった。マスクによる変装が多用されており、第3回「架空世界の生体認証」で紹介した「フェイス/オフ」を彷彿させる。
肝心の認証システムを突破する場面はあまり出てこないのだが、終盤に声紋認証による鍵の付いた扉を開けるシーンがある。ここを録音した音声であっさりと突破してしまっているのだ。
さて、録音した音声で声紋認証を突破できるのだろうか?
実際のところ、声紋認証では突破を100%阻止はできないという状況のようだ。ただ、電話越しやMP3による録音では波形が変わってしまうため突破できない。相当高精度で録音した音声を使用しないといけない。当然、高精度な認証システムに対しては、それだけ高精度な録音が必要となる。
現在、声紋認証をメインにしている認証システムをあまり見かけないのは、録音による突破の危険性に加えて、自分の声でも誤認識も多いのが課題となっているからだ。「誰が操作しようとしているのか」という程度の認識には使えても、確実な認証には使いづらい……というのが現実だろう。「ミッション:インポッシブル2」における認証突破

監視カメラをだます古典的な手口

第3作「ミッション:インポッシブル3 (M:i:III)」も、J・J・エイブラムス監督による巧みなストーリーテリングでヒットしたが、システム的な認証という面で言うと、ほとんどそうした場面が登場しない。ただ、その中でちょっと気になるシーンがあったので紹介しておこう。
イーサンたちがバチカンに潜入するシーン。当然ながらバチカンは非常に高度なセキュリティが敷かれており、怪しい者が立ち入る余地はない。イーサンは壁を伝って侵入しようとするが、監視カメラがあるのでこのままでは見つかってしまう。そこで、一瞬監視カメラを写らないようにして、監視カメラからの風景を撮影し、監視カメラのレンズの前に撮影した風景の写真を置くことで、写真の後ろ側で起こることを見せないようにすると言う古典的な手口を使うのだ。
これだと機械をだますことは難しいが、人間の目視では、ぱっと見わからないので、短時間の潜入でだますには好都合だろう。こうしたことを防ぐには、立体的な映像で確認する3Dカメラを使ったり、赤外線などで深度を測るカメラを併用したりしなくてはならない。当時のバチカンの警備システムがそこまでに至っていなかったのかどうかは実際にはわからないが……。「ミッション:インポッシブル3」における認証突破

このシーンだけでなく、シリーズを通して認証システムよりも人間の目による認証をだますシーンのほうが多く登場する。マスクや制服などの見た目でだまして潜入するのは、イーサンたちエージェントにとっては基本的な技術なのだ。

ICカード認証をハッキングで突破

うって変わって第4作「ミッション:インポッシブル/ゴースト・プロトコル」では認証が活躍する場面が多数登場する。監督はブラッド・バード
IMF本部とコンタクトする際に公衆電話から虹彩認証の装置が出てきたり、やはり秘密基地となる列車の車両に乗り込む時に虹彩認証が用いられたりと、この時代では虹彩認証が主流となっているらしい。そんな中、筆者が気になったのは、ICカード型の所有物認証を突破する際のシーンだ。
本来は正しいICカードを持ってないといけないのだが、IMFのエージェント達は当然持っていない。そこで秘密兵器の登場だ。ICカードとスマートフォンが一体となったような装置を挿入し、システムにハッキングを仕掛け、一瞬で突破してしまう。
実際こういうことが可能かどうかというと難しいところだが、システムの脆弱性が存在すれば、それを突いて侵入することは可能かもしれない。これは接触型認証であるICカードだけでなく、非接触認証の所有物認証でも当然起こりうると考えた方が良いだろう。常に脆弱性情報に気をつけ、新しいシステムにアップデートしておくことが大切だ。「ミッション:インポッシブル/ゴースト・プロトコル」における認証突破

多要素認証に守られたデータセンターへの潜入方法は?

クリストファー・マッカリーが監督した第5作「ミッション:インポッシブル/ローグ・ネイション」では、多要素認証がシナリオの鍵となるシーンがいくつか存在する。
中盤に登場するデータセンターは、ICカード認証、指紋認証、3つのナンバーロックに加え、個人の動きの癖を見て認証する「動作認証」のシステムを複合したシステムで守られている。
ICカード認証は第2回で紹介した「所有物認証」、指紋認証は第3回で紹介した「生体認証」、3つのナンバーロックは第1回で紹介した「知識認証」。そして動作認証は今回初登場だが、これも「生体認証」の一種だ。個人の動きの癖まではエージェントは真似できないが、どのようにしてクリアするのか……? その答えは自分の目で確かめてほしい。
そしてもう一つ、終盤に多要素認証が登場する。「レッドボックス」と呼ばれる暗号化システムだ。
解読には指紋認証、網膜認証に加え、とある人物の声によるパスワードが必要となる。全て「生体認証」ではあるが、最後の要素だけ、「声紋認証」に加えてパスワードという「知識認証」もミックスされている。もはや当該人物を連れてこないと突破できそうにないが、イーサン達IMFの面々はどのようにしてクリアしたのか……?ここはこの映画の大きなネタバレとなるので、その答えは控えさせていただこう。
このように「知識認証」、「生体認証」、それに「所有物認証」のような認証方式を複数組み合わせるのが多要素認証だ。組み合わせが増えるほど必要な情報が増えるので、突破するのは難しくなる。だからこそ「ミッション:インポッシブル」シリーズのようなスパイものでは重要な要素となり、どのように突破するのかを楽しむことができるというわけだ。「ミッション・インポッシブル/ローグ・ネイション」における認証突破

多要素認証を上手く使って安全・安心な生活を

今回は「ミッション:インポッシブル」シリーズを通して登場する認証と、IMFのエージェントがそれをどう突破してきたのかを紹介してきた。
実際の一般生活ではIMFのエージェントに狙われるようなことはまずないが、我々も肝心なところでは多要素認証を上手く運用して、安全・安心にセキュリティを保っていこうではないか。
具体的に言うと、オンラインバンキングやAmazon.comなど、お金を扱うようなサービスは、パスワードに加えてセキュリティトークンによるワンタイムパスワード、指紋認証などの生体認証を組み合わせた認証方法を提供するようになっている。
また、多要素認証ではセキュリティは高くなるが、利便性が下がってしまう。端末の起動時など、ある程度のセキュリティと同時に利便性を求める場合は、iPhoneのTouch IDや新発売されるiPhone XのFace ID忍者増田氏が試していたWindows Helloなど、生体認証を利用するのも良いだろう。
パスワードのみではなく、うまく認証を使い分けていってほしい。
また、ミッション:インポッシブル6」の情報も出てきており、2018年には公開予定だという。どんな認証と突破方法が出てくるのか、今から楽しみだ。

今回はちょっとボリュームが多くなってしまったが、いかがだっただろうか。次回も一つの作品シリーズに絞ってお送りしたいと思う。それでは本日はここまで!

【著者プロフィール】

朽木 海(フリーライター、編集者)
主にITとゲームのあれこれを請け負うライター。前職は某ゲーム会社でいろんなゲームを作ったり、公式Twitter担当をしたりしていました。現在勉強中のテーマはブロックチェーンとマストドン。この原稿を書いてるとき、仕事道具のApple TVが壊れました……。Fire TV Stick買っといてよかった。

>前回記事:第5回「架空世界のパスワードハッキング」
>「架空世界 認証セキュリティセミナー」記事一覧
>認証の基礎知識について:「認証」の基礎知識(1):日常にあふれる「認証」