パスワード認証の代わりとなる認証方式として、ワンタイムパスワードやSMS認証など、さまざまな方式が登場してきましたが、スマホの普及と共に一般化してきたのが指紋認証や顔認証といった生体認証です。
生体認証も普及するにつれて、他の認証方式と同様に不正アクセスを成し遂げようとする攻撃者との戦いが始まります。
今回は、生体認証の中でもポピュラーな指紋認証に関して、現在の研究についてのニュースをお伝えします。
以前からインターネット上では、スマホの指紋認証を本物の指の指紋ではなく、こういう模型やデータで突破できた、というような成功(?)例が記事掲載されています。指紋認証は、認証に使う身体的特徴である指紋が表に露出しているため、画像からコピーしたり、型をとって模型を作ったりなど、様々な方法での突破が試されてきたのです。
指紋認証と言っても、実は認証精度は開発メーカーによってまちまちで、安価なシステムほど、本人拒否率や他人受入率が高く、簡単な偽装手法で突破されてしまう傾向がありました。
もちろん各指紋認証システム開発メーカーは、不正突破を阻止すべく認証精度の向上のための研究開発を進めていますが、皮肉なことに技術開発の発展は認証システム提供側だけでなく、不正突破しようとする攻撃者側にも恩恵をもたらしてしまうのです。
そのひとつが3Dプリンターの発展と低価格化による普及です。
以前は、ある程度の資金力がないと精巧な指の模型を再現することは困難でした。しかし、家庭用3Dプリンターの解像度が向上した結果、大半のメーカーの製品でも指紋認証を突破できる指模型の製作が可能になっていると、ネットワーク機器メーカー「Cisco」のサイバーセキュリティチームの研究グループが発表しました。
2,000ドル(約22万円)に満たない家庭用3Dプリンターで製作した模型で、数十種類の指紋認証ロック機能がある端末のうち、80%の端末で認証突破することができた、ということです。
とはいえ、この実験結果が、指紋認証の安全性崩壊に即つながるわけではありません。
実際に精巧な指模型を製作するためには、ターゲットとなる人の指紋情報を何らかの方法で入手する必要があります。それには下記の3つの方法があります。
1.本人の指からじかに型をとる
2. 指紋認証スキャナで収集して保管されている指紋情報データを入手する
3.本人が接触したものから指紋を採取する
このいずれかの方法で指紋情報を入手しないといけないので、誰でも簡単にできることではありません。
次に、偽造した指模型を認証機器(端末など)に接触させないといけないので、施設の入退室ゲートなど、不特定の誰でも接触できるような場所にある指紋認証機器ではない場合、例えば個人用スマホやPCといった端末の場合だと、端末自体も入手する必要があり、第三者が正確な指模型を作るには、まだハードルがあります。
しかし、身内に攻撃者がいる場合など、条件さえ揃えば指紋認証を突破できてしまう恐れが大きい、ということもまた事実です。その点では虹彩認証や静脈認証などのような、身体的特徴が体の奥にあり、そのデータを採取しづらい生体認証方式のほうが、指紋認証よりも安全だと言えるでしょう。
指紋認証が採用されているのは、個人の端末への認証や、公共施設での入退場(それも他の認証要素と組み合わせたもの)における利用程度に限られているのは、この偽造される恐れを考慮してのことです。
偽造の可能性は、顔認証をはじめとした他の生体認証にも言えることで、いずれ技術の進化によって、知らないうちに体をスキャンされて、偽造されてしまうような未来が来るかもしれません。