指紋認証の危険な落とし穴:クラーケン・ラボが検証

指紋認証の危険な落とし穴:クラーケン・ラボが検証

指紋認証は、パスワードやPINコード入力より簡単な本人確認方法で、今では多くのデバイスで利用されている。しかし、その便利さとは裏腹に、大きなリスクが伴うことを知っているだろうか。

暗号資産(仮想通貨)取引サービスで米国大手のクラーケン(Kraken)は、独自のセキュリティ研究チーム「クラーケン・セキュリティ・ラボ」を通じて、さまざまな研究を行っている。ラボは今回、指紋認証に伴うリスクを検証し、レポートにまとめた。

指紋が盗まれる

人の記憶に管理される一般的なパスワードとは異なり、人の指紋は、タクシーのドアや、図書館の机、iPhoneのスクリーン、ワイングラスなど多くのモノに残されている。

指紋認証を悪用する上で、人の指紋を直接入手する必要はなく、ユーザーが触ったモノの写真さえあれば十分だと、同レポートは指摘する。

(画像:クラーケン・セキュリティ・ラボのレポートより)

ノートブックパソコンの画面に指紋が付着したこの写真をもとに、フォトショップを利用すれば、まともなネガを作ることができるという。

(画像:クラーケン・セキュリティ・ラボのレポートより)

上の画像は、PCのスクリーンに付着した指紋が写る画像から作った、指紋のネガティブだ。

(画像:クラーケン・セキュリティ・ラボのレポートより)

ネガティブをアセテート素材のシートにプリンターで印刷する。トナーによっては、3D構造の指紋を作ることもできる。そして、最後に、木工用接着剤を指紋の上に塗って、実際に使うための合成指紋を作る。

(画像:クラーケン・セキュリティ・ラボのレポートより)

攻撃開始

(画像:クラーケン・セキュリティ・ラボのレポートより)

クラーケン・ラボは、この手法を使ってほとんどのデバイスにアクセスすることができた。もし現実にこの攻撃が実行されたら、多くの個人情報が抜き取られることになっただろう。

対応策はあるのか?

指紋認証は、強固なパスワードの代替手段と考えるべきではないと、クラーケン・ラボは指摘する。指紋認証の脆弱性をつくことで、アマチュアの攻撃者たちであっても、他の個人の情報や、個人が所有する暗号資産(仮想通貨)を入手できてしまう。

指紋は、確かに唯一無二の点でユニークではあるが、簡単に悪用されるリスクが存在する。せいぜい使えるのは、2段階認証(2FA)の手段としてのみだろう。

|編集・構成:佐藤茂
|トップ画像:Shutterstock

おすすめ記事: