モバイルデバイスの指紋センサーは安全か？

各社の主力スマートフォンは、ほとんどが流行りの指紋スキャナーを搭載しています。生体認証センサーはモバイルデバイスのユーザーエクスペリエンスとセキュリティの両方を向上させる、というのがメーカーの主張です。果たして本当なのでしょうか？

そうでもありません。まず、こうしたセンサーは完璧ではありません。従来の静電容量方式スキャナーの場合、手が濡れていると指紋はほぼ認識されないですし、とにかく1回目はたいてい失敗します。夏場やエクササイズ中で手が汗ばんでいると、頑なまでに認識されない可能性があります。火傷や引っ掻き傷など、皮膚が傷ついている場合も認識力が下がります。加えて、多くのセンサーは本物と偽物の指を区別できません。これはセキュリティ上、大きな欠陥と言えます。

Qualcommの超音波センサーが発売されれば、こうした問題の一部は解決されるかもしれません。このセンサーは超音波を使って指の3Dイメージをスキャンし、作り物の指に騙されることはありません。しかも、この新しい超音波センサーなら、指が汚れていようが濡れていようが問題なく動作します。とはいえ、脅威は他にもまだあります。

先日開催されたMWCで見えたトレンド4つを紹介します。IoT、のバイオメトリクス、それから… http://t.co/SquUQ7ByNn pic.twitter.com/2qCVCQ16EO

— カスペルスキー 公式 (@kaspersky_japan) March 17, 2015

どんなときも新しいテクノロジーは、新しいがゆえに脆弱です。新たなイノベーションを考えるだけでは不十分。重要なのは安全な方法でテクノロジーを実装することなのですが、すべてのメーカーができるわけではありません。それに、何とかこの課題に対処したとしても、最初のバージョンでは、まずうまくいかないでしょう。2015年8月、離れた場所から大量に指紋を盗む新しい方法が発見されました。

あるセキュリティエキスパートは、HTC One MaxとSamsung Galaxy S5のスマートフォンが指紋イメージを暗号化せず、どんなアプリでも読み取れる一般的なビットマップ画像として保存していたと発表しました。利用者の写真やインターネットにアクセスできるソフトウェアであれば、指紋を盗むことができます。この事実が発表された後、開発者はすぐにパッチを作成しましたが、このような過ちを新しく出る携帯電話やOSで犯さないという保証はどこにもありません。

それに、多くのスマートフォンのセンサーは保護が甘く、マルウェアに指紋スキャナーから直接画像を取り出されてしまいます。ちなみに、Appleのスマートフォンはスキャナーの指紋データを暗号化しており、かなり安全というのは興味深いことです。

一部のメーカー（Huaweiなど）は、ARM TrustZoneテクノロジーを使ってデバイス上のデータを保護しています。このテクノロジーは、指紋イメージを専用の仮想「世界」に格納し、メインOSからもアクセスできないようにします（英語記事）。（指紋などの）重要データは流出せず、サードパーティアプリから利用されることもありません。しかし残念ながら、実装モデルによっては、このテクノロジーでも問題が発生する可能性があります（英語記事）。

指紋はパスワードとは違って他の人と共有したり、忘れてしまったり、他人に見せたりできない、という意見もありますが、信じないでください。指紋は直接接触しなくても離れたところから簡単に盗むことができる、と今年リサーチャーが実演してくれました。標的とする指の高画質写真があれば、実行可能です。高倍率ズームのレンズを搭載した一眼レフカメラや、雑誌に掲載された高解像度の写真でも十分です。ちなみに、同じ手口で虹彩を偽造することもできます。

パスワードに代わる認証方式として生体認証への期待が高まっています。しかし、何事も「100%確実」と言い切れません…セキュリティならなおさら。https://t.co/toozN7MJIg pic.twitter.com/TcRcowSbIa

— カスペルスキー 公式 (@kaspersky_japan) November 16, 2015

パスワードなら、流出しても数分で変更できます。でも、指紋は一生ものです。盗まれたらどうなるのでしょうか。そんなわけで、大手のメーカーが安全性を保証しているからといって、鵜呑みにすべきではありません。指紋センサーが搭載されたスマートフォンをお持ちの方には、次に挙げる3つをお勧めします。

モバイル #指紋 スキャナーは #セキュリティ を強化するのか、それとも脆弱性を増やすのか？

Tweet

1. いくらメーカーが保証していても、PayPalなどの金融サービスの認証に指紋スキャナーを使用しないでください。指紋スキャナーは安全ではありません。今、手元にスマートフォンがあっても、明日は盗まれることだってあります。あなたの指紋を携帯電話の画面から直接採取し、型を作って何かを購入するのも簡単です。パスワードを破る方が大変です。正しく設定していればの話ですが。

#DEFCON レポート第3弾。人の行動は予測しやすいもの。性別や年齢から、その人のスマホロック解除パターンを推測可能かもしれない、という調査結果が！https://t.co/FcUcMKrj5O pic.twitter.com/Lb1XT7aoSB

— カスペルスキー 公式 (@kaspersky_japan) August 25, 2015

2. 生体認証のログインには人差し指や親指を使うことが多いものです。便利ではありますが、良いとはいえません。携帯電話を使うときに最も使う指だからです。インターネットに出回っている数多くのマニュアルを参考にすれば、どの携帯電話にも残っているであろう完璧な状態の指紋を採取し、型を作ってセキュリティを突破するのも可能です。右利きであれば左手の薬指や小指を、左利きであればその反対を使う方が良いでしょう。
3. 指紋スキャナーでは、個人データを十分に保護できません。プライバシーが気になる方は、特別なアプリを使うことを検討してください。たとえば、カスペルスキー インターネット セキュリティ for Androidには盗難対策とプライバシー保護の機能があります。こうした機能では、盗まれた携帯電話を追跡する、リモートからデバイス上のすべてのデータを消去する、メールの履歴や連絡先リストを非表示にする、といったことができます。

私たちの生活の一部であり、ある意味では脳の延長でもあるスマートフォン。カスペルスキー インターネット セキュリティ for Androidのスマホ保護、鍵となるのは「暗証番号」 https://t.co/cb5XJov3lm pic.twitter.com/PN9dZiC7WO

— カスペルスキー 公式 (@kaspersky_japan) January 7, 2016

指紋スキャナーは概して素晴らしいイノベーションであり、害悪よりも利便性の方が上回ります。ですが、信用しすぎは禁物です。新しいテクノロジーは賢く使いこなし、パスワードや2段階認証などのセキュリティ対策をおろそかにしないでください。