• 東京都品川区西五反田2-13-6 セラヴィ五反田ビル7階
  • 03-6417-9411
    (平日10時~18時)

生体認証における脆弱性

生体認証における脆弱性

脆弱性とは

脆弱性とは、一般的には、プログラムの不具合などに起因するセキュリティ上の欠陥のことを指し、外部からの不正アクセスに対してシステムの安全性が損なわれている状態を意味します。 セキュリティホールなどが代表的です。 生体認証における脆弱性としては、「第三者へのなりすまし」が挙げられます。 具体的な攻撃方法としては、何らかの方法で第三者の生体情報の人工物を作成し提示する方法が考えられます。

生体検知技術とその限界

生体認証技術を製品化する際には、上記のような人工物を本人でないと判定する「生体検知技術」の実装が不可欠になります。 皮膚の静電容量など人間の電気特性を用いるもの、生体の表面だけでなく内部の情報を用いるもの、生体の三次元形状を利用するものなどが代表的です。 どの手法も、生体を撮像した写真を提示する、単純ななりすまし手法を検出することができます。
一方で、現状の生体検知技術は、人工物によるなりすましを完全に検出することはできていないのが実情です。

ドイツの有名なハッカー集団であるChaos Computer Club (CCC) は、近年のスマートフォンに搭載されている生体認証の脆弱性に関して継続的に調査活動を行っており、2013年にはApple iPhone 5sに搭載された指紋認証、2017年にはSamsung Galaxy S8に搭載された虹彩認証に対して、人工物の提示によるなりすましに成功しています。 2015年には、3メートル先から撮影した親指の写真から指紋情報の複製に成功したとも発表しています。 また、Galaxy S8に搭載されている顔認証に関しては、顔写真でなりすまし可能という報告もあります。

指紋認証が広く普及している中国では、指紋の偽造物作成技術も発達しており、指紋偽造キットも流通しています。 生体検知技術の進歩とともに偽造物作成も巧妙になり、生体検知技術開発と人工物開発とのいたちごっこ状態になっています。

生体部位による脆弱性の違い

上記で挙げた指紋、顔、虹彩は、目で見ることのでき、第三者が本人に無断で入手することが比較的容易な生体情報です。 これらの情報と比較すると、静脈は体内の情報である上に、通常のカメラでは撮像することができないこともあり、第三者が入手することが難しいという特徴があります。 上記の特性により、静脈の偽造物は、本人の協力なしでは困難です。

中国の例でもわかるように、今後、生体認証がより広く普及していくにつれ、偽造物の作成も一般的になってきます。 生体認証を導入する際には、価格や認証率が重要な要因ではありますが、脆弱性に関しても考慮していく時代になりつつあります。


本記事の著者

出口 豊
株式会社モフィリア
経営管理部門 技術推進部長
2017年10月25日
関連記事

静脈認証で安全・便利な社会を実現