先日、生体認証情報漏えいのニュースが飛び込んできました。

世界130カ国以上における販売実績があるネットワークをもつバイオメトリクスおよびセキュリティの大手プロバイダSuprema社(韓国)が販売している生体認証システム「Biostar2」において、データベースに欠陥があり、100万件以上の指紋情報や顔認証情報を含む、合計2,780万件もの個人情報データが、暗号化もされずに外部からアクセス可能な状態のままになっていたことが判明しました。
このシステムは銀行や英国警視庁、防衛企業など世界150万か所で使われています。

>100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性(Engadget日本版2019年8月15日掲載記事)

>vpnMentorに掲載された元レポート記事(英文)

生体認証に利用する身体の特徴の情報は、基本的には作り直すことも変更することもできない固有の情報ですので、情報漏えいが最大の課題として言われてきましたが、その情報漏えいが大規模で発生してしまった可能性がある、ということです。

この課題を解決するために、FIDO Alliance(ファイド・アライアンス)は、生体認証を端末側で行うことで「生体情報そのものはネットワーク上に流れない、サーバーで保持しない」というFIDO規格を推進してきました。
インターネット上に生体情報が流れることもなく、サーバーにも生体情報が残っていなければ、情報漏えいのリスクが軽減されるからです。

しかし、Biostar2の場合は、施設などへの入退室管理に生体認証を使っていて、FIDOに準拠しておらず、生体情報をサーバーに蓄積するようになっていたうえで、今回のインシデントが発生してしまったのです。
現在はこのセキュリティ上の欠陥は克服されているということですが、このシステムの仕様上、生体情報がサーバー上に残っているものと思われます。
サーバー上に生体情報を保管することのリスクを再認識させる事件であり、生体認証推進への流れに水を差すことにもなりかねないので、生体認証システムを運用する事業者や、提供するベンダーは、生体情報の管理を徹底してほしいと、あらためて考えます。