生体認証

17 記事

MWC 2017に見る生体認証技術

バルセロナで開催の携帯電話関連の見本市Mobile World Congress(MWC)。今年は指紋センサーの保護の強化や虹彩スキャンなど、セキュリティの興味深いトレンドが見られました。

identity-theft-featured

ハッカーは簡単に人の顔を盗めるか

指紋、顔、虹彩など、体の一部を使った認証方法が広がっていますが、そういった生体データの偽造手段も確立されつつあります。従来のパスワードなら、たとえ漏洩しても簡単に変更できますが、自分の体を取り替えるわけにはいきません。

鼓動とパスワード-featured

心臓の鼓動はパスワードの代わりになれるか?

パスワードは本人確認における事実上の標準となっていますが、多くの理由からセキュリティ上の深刻なぜい弱性を抱えています。中でも特に深刻なのが、人は覚えやすいように不適切なパスワードを作成しがちであるということです。ここに問題があります。良いパスワードは推測しにくいものですが、覚えるのが大変です。悪いパスワードは簡単に覚えられますが、推測するのも簡単になってしまいます。パスワードに代わるもっとシンプルで安全なものを生み出すことが、長年にわたってセキュリティ業界の優先事項とされてきました。生体情報を利用した奇抜な認証手段や、SF映画からヒントを得たようなアイデアが溢れかえっているにもかかわらず、各種デバイスへのログオンやオンラインへのログインに、ほとんどの人がパスワードを使用しています。 私たちの胸で鼓動している心臓には、右心房にペースメーカーとして知られる神経細胞とシナプスの束があります。ペースメーカーは電気信号を放出し、それによって人間の心臓が鼓動します。こうした電気信号とそれが生み出す心拍リズムは、心電計によって測定することができます。それを読み取ったものが心電図(ECG)です。この心電図は、正確に測定すれば1つ1つを区別することができます。つまり、指紋と同様、2人の人間から同じ心電図ができることはありません。生体認証を支持する人たちにとって明るい材料と言えるでしょう。 パスワードに代わるものを作り出すという取り組みに、Bionymという企業が新たに加わりました。同社が開発を続ける新しいウェアラブルデバイスは、装着者の心電図を測定するものです。Bionymが主張するところでは、同社のデバイスは心臓の鼓動が通常より速い場合も遅い場合も、心電図を正確に識別できるといいます。 同社のデバイスは「Nymi」という名称で、腕時計のように装着するものですが、2つの電極があります。一方の電極がユーザーの手首に密着し、もう一方が逆の側にあります。ユーザーが2つめの電極(手首と接触していない方)に指先で触れると回路が形成され、ユーザーの心拍リズムを読み取って心電図が作成されます。この心電図を、Bionymが開発してNymiにアプリケーションとして組み込んだソフトウェアが分析します。 「信号の処理を行って、全体が波の形で表される独自の特徴を抽出します。信号をそのまま使うのではなく、こうした特徴を照合するのです」。Bionymの広報担当者はThreatpostのメールインタビューでこのように述べました。 結局のところ、パスワードの数少ない利点の1つは、必要が生じたときにいつでも変更できるという点です。 このアプリは、Nymiと連携するようにプログラムされたあらゆるデバイスでユーザーを認証します。Bionymは同デバイスを2014年中に発売する予定で、現在は開発者たちと協力して、Nymiの発売時にできるだけ多くのデバイスが対応するようにしている段階です。 Bionymの創業者は、トロント大学の研究者であり生体認証のエキスパートでもあるカール・マーティン(Karl Martin)氏とフォテイニ・アグラフィオーティ(Foteini Agrafioti)氏です。両氏は生体情報を読み取って認証に利用できるウェアラブルデバイスをいち早く開発しましたが、この理論を最初に思いついたわけではありません。 ユーザービリティエンジニアで、ヒューマンコンピューターインタラクション(HCI)のエキスパートであるブルース・トグナツィーニ(Bruce Tognazzini)氏は今年、自身の個人ブログに綴った壮大な記事の中で、Appleが開発中と言われるiWatchが成功するためには、他のすべての機能に加えて、認証メカニズムにならければならないと主張しています。同氏は生体情報の測定こそが最高の基本認証機能であると暗に示しているのです。 その上、1か月に1度くらいは、パスワードの代わりとなり得る新しい生体認証が登場したようだというニュースを目にしているように思えます。とりわけ目を引くのはやはり、AppleのiPhone 5sに搭載されたTouch IDセンサーでしょう。Appleが上位機種iPhone 5sは指紋スキャナーを内蔵すると発表してから1週間とたたないうちに、セキュリティのマニアや専門家が資金を出し合ってTouch IDのハッキングに懸賞金をかけました。最初に突破したハッカーが懸賞金を手にするというわけです。この記事を書いているのはコンテストが本格的に始まった4日後ですが、この時点での勝者はドイツの有名なハッカー集団Chaos Computer Club(CCC)のようです。重要なのは、約束どおり懸賞金が支払われるかどうかではありません。CCCが成し遂げたことから、もっと重大な疑問が浮かび上がってきたからです。果たして生体認証はパスワードに代わる解決策なのでしょうか? 生体認証というアイデアを完全に捨て去るのは明らかに時期尚早ですが、長年にわたってぜい弱であることが知られている指紋スキャナーがその答えではないということを、CCCは証明したかったのでしょう(彼らは証明できたと考えているようですが)。 CCCの広報担当者フランク・リーゲル(Frank Rieger)氏は次のように述べています。「これでようやく、人々が指紋認証に抱いている幻想から覚めるものと期待しています。変更することができず、毎日色んな場所に残しているものをセキュリティ証明として使うのは、明らかに愚かな行為です。生体認証業界は、もうセキュリティに関する虚偽の主張によって人々を欺くべきではありません。基本的に、生体認証は抑制と制御のための技術であって、日々のデバイスへのアクセスを保護するものではないのです。」 CCCは、生体認証はよろしくない、という極めて明確な見解を示しています。生体認証一般についての彼らの見方が正しいかどうかはまだわかりません。確かに、生体情報を用いた手法が認証において有意義に活用されている例はまだないのです。しかし、CCCの考えで本当に重要なのは、指紋は変更することが非常に難しく、行く先々で触ったものすべてについてしまうため、指紋スキャナーはダメだという点です。心臓の鼓動を使った生体認証は、あらゆる場所に残るわけではないので、指紋スキャナーよりはまだ良いと言えますが、変更できないという理由から、すべての生体認証と同様に不安が残ります。結局のところ、パスワードの数少ない利点の1つは、必要が生じたときにいつでも変更できるという点です。

iphone指紋スキャナー-featured

iPhone 5sのTouch ID指紋スキャナー:知っておくべきことは?

Appleは新しい主力スマートフォンでのユーザー保護を強化します。生体認証はついに一般化するかもしれません。これは良いことなのか悪いことなのか、そしてどのような影響が考えられるでしょうか。 この機能搭載の裏にある意図を気にする方があるかもしれません。Appleは、米国家安全保障局(NSA)の友人を喜ばせ、米連邦捜査局(FBI)の捜査官のために納税者の指紋を収集することだけが目的で生体認証を導入するわけではなさそうです。Appleは、指紋が(写真ではなく)特別に生成される形式で常にローカルに保存され、インターネットに送信されることはないと明言しています。さらに、指紋スキャナーとTouch IDを使用できるのはiOS自体だけで、サードパーティアプリでは利用できません。さて、こうした制約によって何を守ることができるのでしょうか。 非常に多くのものが守られるでしょう。まず明らかなのは、正当な所有者が自分のスマートフォンをずっと簡単にロック解除できるようになることです。シンプルにホームボタンを押すだけで、内蔵の容量性センサーが即座に指紋を認識し、「ホワイトリスト」に登録された人物のアクセスを許可します。権限がなかったり、手袋をしたままだったりすると、指紋を認識できないというメッセージが表示されます。この場合、バックアップ用のパスワードを入力する必要があります。また、手袋をはめていなくとも、寒い天気のとき、手がぬれていたりローションを塗っていたりするとき、または傷がついている、やけどしているときなどには、このテクノロジーが機能しない可能性があります。そのため、パスワードを記憶しておくのは依然として重要です。さまざまなときにお世話になることでしょう。 iTunesやApp Storeでの買い物の承認など、iOSがパスワードを求める場面では、Touch IDによるチェックが必要となります。 iTunesやApp Storeでの買い物の承認など、iOSがパスワードを求める場面では、Touch IDによるチェックが必要となります。使い勝手をよくするため、左右の複数の指を登録しておくことをお勧めします。 もちろん、新しい保護メカニズムが十分に強固で安全かどうかはとても興味深いことです。前に述べたように、生体認証センサーは完全ではありません。Touch IDを導入するため、AppleはAuthentecを買収しました。Authentecは、とても面白い生体認証技術を開発する専門企業です。スキャナーは皮膚隆線だけでなく、表皮下の層も読み取ります。これによって、指紋の偽造ははるかに複雑になります(ちなみに、指の切断も無意味です)。iPhone 5sが主流になるときには、知りたがりのハッカーによって新しいセンサーのぜい弱性がおそらく発見されるでしょう。ただし現時点では、そういったぜい弱性の情報はなく、ぜい弱性が存在するかどうかについても分かっていません。 使い慣れたパスコードロックと今までにない指紋認証による保護。どちらを選択するのかは、簡単なことではありません。パスコードはのぞき見されやすく、入力にも時間がかかります。指紋の方は偽造が困難で使いやすい一方、あなたのデータを何としても必要な人は、無理矢理にでもスマートフォンにタッチさせようとするかもしれません。もちろん、このような状況は実際の生活ではなくハリウッドのアクション映画にこそふさわしいものでしょう。ただ、本当に価値のある情報を保有している場合には、このことを頭に入れて、可能であればスマートフォンにはそういった情報を保存しないようにする必要があります。 「普通の人々」について話すなら、Appleの新しい技術を恐れる必要は今のところなさそうです。しかし、Appleは次の段階として、購入を承認するための第一の認証に指紋認証を使用した、独自の支払いシステムを導入するという推測もあります。その場合、指紋がネットワーク上で送信されるのは避けられそうにありません。そしてそのような使用事例は、ハッカーにとって、主流の客層に対する標的型攻撃を開発するための十分な理由になります。自分の指紋が悪人の手に渡るのが心配ならば、支払いシステムやその他エコシステムの開発について耳にしたら、Appleの生体認証を使用するかどうか考え直してください。その開発は、指紋の使用範囲を広げることが前提となっている可能性がありますから。 追記: 販売開始のわずか2日後、ドイツをベースに活動する「Chaos Computer Club」のハッカーたちが、お金をかけずに簡単にiPhone 5sの指紋認証センサーをハッキングする方法をブログにて公開しました。これによると、5sのセンサーは旧モデルとほとんど違いがなく、解像度が上がっているだけだとしています。