メディア

「指紋認証は安全」とは言えないワケが実証されたって本当?:642nd Lap

指紋認証をたった500円程度で突破できるという動画が公開され、話題になった。指紋認証もダメなら、何をやっても無駄だということなのだろうか……。

» 2021年12月17日 07時00分 公開
[キーマンズネット]

 今やスマホやPCにも標準搭載され、身近な技術となった指紋認証。指紋は個人が持つ固有の情報なだけに、ユーザー認証手段として信頼を置く人も多いだろう。

 しかし、指紋認証を過信するのも考えものだ。特別な知識を持たない人でも簡単に指紋認証を突破できる方法が公開された。防犯の観点から、突破までの全てをお教えするわけにはいかないが、プロセスの一部を少しだけお話ししよう。セキュリティ意識を高めるきっかけとなれば幸いだ。

 指紋認証の突破方法を実証して見せたのは、暗号資産取引所のKrakenだ。米国で2011年に開業し、暗号資産取引所の中でも古参の部類に入る。同取引所はWebサイトでブログを公開しており、暗号資産の情報はもちろんセキュリティ関連などその他の情報も掲載している。

 Krakenのブログで2021年11月19日に公開された「Your Fingerprint Can Be Hacked For $5. Here’s How.」という記事が、指紋認証に警鐘を鳴らした。

 同ブログ記事のタイトルを訳すと「あなたの指紋は5ドルでハッキングされますよ。やり方はこう」。タイトル通り、指紋認証をわずか5ドル(約550円、本稿公開時点でのレート換算)で突破するという内容だ。

 しかも、動画で指紋認証の突破方法も説明している。Krakenは「YouTube」でチャンネルも運営しており、その中の1本にKrakenのセキュリティラボが指紋ハッキングの手法を全世界へ向けて公開した。

 指紋をわずか500円程でハッキングする手法の一部を紹介しよう。不正を推奨しているわけではないことを念のためお断りしておく。

 なお、ブログでは、PCやスマホの接触型の指紋スキャナーが搭載されているデバイスを標的にしている。

 まずはユーザーの指紋を入手する。ここが最も困難だと思われるが、ブログでは直接指紋を採取するのではなく、PCやスマホに付着した指紋の画像さえあればいいとしている。その画像を「Photoshop」などの画像加工アプリで鮮明にする(肝心の手順についてはぼやかされている)。こうして作成した指紋の「ネガ」をレーザープリンタでアセテートシートに印刷する。アセテートシートとは透明のシートで、酢酸セルロースで作られる。

 この方法で指紋が3Dに近い状態で再現される。印刷された指紋の上に木工用の接着剤を垂らして薄くのばす。乾燥前は白い液体だが、乾くと透明に近い状態となり一定の柔軟性もある。それをそっとシートから剥がすことで、偽の指紋が完成する。

 ブログでは実際に偽の指紋をスキャナーに接触させる実証実験も実施して見せ、見事に認証に成功した。画像加工アプリとレーザープリンタは既存のものを使うとして、アセテートシートと木工用接着剤で5ドル、というところだ。

 Krakenのセキュリティラボは「指紋は強力なパスワードの代替手段ではない。指紋はあなた固有のものではあるが、簡単に悪用できる。二段階認証の手段としてだけ使うことを検討するべきだ」と指摘する。

 生体認証は唯一無二のものだからといって過信すると、Krakenが示したようにあっさりと覆され、何らかの被害に遭う可能性もある。信頼はほどほどにするべきなのだろう。


上司X

上司X: 指紋認証って簡単に突破されちゃうよ、という話だよ。


ブラックピット

ブラックピット: 突破法を動画で示されると、かなり説得力はありますねえ。


上司X

上司X: 指紋の画像を明瞭にするプロセスの一部が隠されているから、誰もが手法を再現できるわけではなさそうだけどな。


ブラックピット

ブラックピット: 逆に言えばそれを熟知している人ならできるかもね、ということでは?


上司X

上司X: まあそうかもしれんけど、ここではこの手法を推奨しているわけじゃないからね。そこのところを強調しておくよ!


ブラックピット

ブラックピット: 分かってますって……。


上司X

上司X: 笑いごとじゃないんだよ。とにかくだ、指紋認証は必ずしも安全とは限らないと、そういうことだな。


ブラックピット

ブラックピット: 指紋って犯罪捜査の決め手にもなりますから、過大な信頼と期待を寄せてしまうんでしょうね。まあ僕もその一人でしたけど、ちょっと認識を改めなきゃいけませんね。


上司X

上司X: まあそういうことだな。二段階認証や他の生体認証を組み合わせて工夫していかないと、足をすくわれることになるだろうな。俺もスマホとノートPCの指紋認証設定をちょっと調整することにするよ。

川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。