« ライセンスによるパノプティコン最近話題のPolitical Compassをやってみた »

モバイル機器の指紋認証デバイスに頼ってはいけない

2005/03/05

Permalink 01:33:58, by Nobuo Sakiyama Email , 4 words   Japanese (JP)
Categories: セキュリティ

モバイル機器の指紋認証デバイスに頼ってはいけない

「第1回 日経セキュリティ会議」のレポートのひとつによれば、横浜国立大学大学院の松本勉教授が以下のような指摘をしている。

一方、偽造しにくいと考えられている生体認証技術も盲点があると指摘したのが松本氏。携帯電話に搭載されているラインセンサーが、指紋をつけたゼラチン製の人工指でも認証が出来てしまうという事実を紹介した。

第1回 日経セキュリティ会議: セキュリティーポリシーを決めてから応用を——東大・坂村教授らがプライバシーについて議論

松本研究室によるゼラチン製の疑似指、いわゆるグミ指による指紋認証へのアタックの研究は以前から有名だったが、今回、携帯電話搭載のラインセンサーが脆弱であると明確に示されたことは、非常に重要だ。グミ指攻撃手法の発表以降、複数の指紋認証デバイスの発表記事において、この攻撃への耐性を持つとされたものがあり、従って、ある指紋認証デバイスがグミ指攻撃に対して脆弱かどうかは、必ずしも自明ではなかった。しかし、ここでは明確になっている。

携帯電話やモバイル機器は、その機器を主たるユーザが裸の指で触り、あるいは握って利用する。この状況で、機器や、機器の周辺にあるモノにはそのユーザの指紋がベッタリとつくことになるだろう。一方、グミ指攻撃の発表では、偽造指の作成方法について、正規ユーザの指から型をとる方法だけでなく、物体に付着した指紋を転写することで作成する方法での攻撃成功がすでに報告されている。これらを組み合わせると、携帯電話等のモバイル機器の指紋認証は、機器が悪意の第三者が入手すれば容易に破ることができる、ということになる。ここでいう「入手」は、盗難などの不可逆なものもあれば、ロッカーなどから一時的に持ち出すようなケースも含まれるだろう。これは、何の認証もない状況よりはマシかもしれないが、少なくとも、生体認証の一般的なイメージで誤った安心感をふりまかれた結果を信じ込んで指紋認証以外のセキュリティ対策を行わない場合は危険だと言えるだろう。

このラインセンサーによる指紋認証デバイスつきの携帯電話を製造しているメーカーは、同様のセンサーによる指紋認証つきのモバイルむけノートパソコンも出していたと記憶している。この指紋認証デバイスに頼った情報漏洩対策を行っている人達もいるような気がするのだが...。

3月8日追記: この件についてはすでに実証実験が行われていることが判明。「携帯が危ない」(junhara's blog)によれば、3月5日に朝日ホールで開かれたNTTドコモモバイル社会研究所シンポジウムでの東大先端研の玉井克哉教授(知的財産法)の講演にて

指紋も子どもがお遊びに使うグミを利用すると、携帯に残された指紋跡から簡単に指紋のコピーが作れるのだそうだ。これも実演ビデオを見せられた。

携帯が危ない

ということがあったそうだ。なお、現状では指紋認証つき携帯電話は、NTTドコモの富士通製携帯電話のみだと思われる。そして、指紋認証つき携帯電話のデビューは、松本研のアタック成功発表の後だったと記憶している。