パスワードに代わり、指紋認証や静脈認証といった「生体認証」(バイオメトリクス)が普及しつつあります。パスワードに比べてセキュリティが高いといわれている生体認証ですが、本当に万全なのでしょうか。
生体認証の種類
「生体認証」(バイオメトリクス)は、現在、次のようなものが実用化しています。
種類 | 現状 | 価格 |
---|---|---|
指紋 | 携帯電話やノートPCに搭載されつつある。日本では一番普及している方式 | 数千円 |
静脈 | 手のひらや手の甲、指先などから静脈パターンを読み取る方式。銀行などでの採用が始まっている | 数万円~ |
虹彩 | 黒目の模様(虹彩)を数値化して特徴を照合する仕組みで、バイオメトリクス認証の中では一番精度が高いといわれている | 10万円~ |
顔 | 顔の特徴を捉えて照合する仕組み。少し離れたところからカメラで撮影した映像を元に照合できるので、ユーザーに負担をかけない | 数万円~ |
筆跡 | マウスを使って入力するだけで済み、専用の認証装置がいらない | 数千円 |
音声 | 声そのものの音響分析を行い、特徴点(声紋)を捉えて照合する仕組み。筆跡と同様、専用の認証装置は不要 | 数千円~ |
独立行政法人情報処理推進機構(IPA)は、2008年(平成20年)8月25日、生体認証システムの適切な運用と管理、利用等を促進するため、「生体認証システムの導入・運用事例集」を含む「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」を公開した。
生体認証は比較的簡単に複製できる
松本勉教授(横浜国立大学大学院)が2005年(平成17年)4月に発表した報告書「金融取引における生体認証について」によると、指紋、虹彩、静脈については、比較的簡単に複製できることを実験で証明しています。
とくに指紋では、直接本人の指から型どりしたものだけでなく、認証装置や壁などに残された指紋からも複製できてしまいます。
2010年(平成22年)5月、他人の指紋をシリコンや接着剤などで偽造し、韓国人らを日本に不法入国させていたとみられるグループが摘発されました。
2018年(平成30年)10月、米ニューヨーク大の研究チームは、ニューラルネットワークを用いて複数の指紋を1つの画像パターンでマッチングできる DeepMasterPrints を改良する論文を発表しました。DeepMasterPrints は、指紋認証のマスターキーのようなものです。
これにより、指紋認証システムが弱体化する恐れがあるといいます。
Chaos Computer Club(CCC)は、2017年(平成29年)5月にGalaxy S8の虹彩認証を突破し、2018年(平成30年)12月にはミツロウ製のダミーで静脈認証を突破したことを発表しました。ただし、2,500枚の写真を撮影し、そのなかから条件のよいものを選んで使ったといい、通りすがりに撮影したような写真で静脈認証を突破するのは難しいとしています。
とはいうものの、難しいとされてきた虹彩認証と静脈認証が突破されたことには留意しましょう。
とくに指紋では、直接本人の指から型どりしたものだけでなく、認証装置や壁などに残された指紋からも複製できてしまいます。
2010年(平成22年)5月、他人の指紋をシリコンや接着剤などで偽造し、韓国人らを日本に不法入国させていたとみられるグループが摘発されました。
2018年(平成30年)10月、米ニューヨーク大の研究チームは、ニューラルネットワークを用いて複数の指紋を1つの画像パターンでマッチングできる DeepMasterPrints を改良する論文を発表しました。DeepMasterPrints は、指紋認証のマスターキーのようなものです。
これにより、指紋認証システムが弱体化する恐れがあるといいます。
Chaos Computer Club(CCC)は、2017年(平成29年)5月にGalaxy S8の虹彩認証を突破し、2018年(平成30年)12月にはミツロウ製のダミーで静脈認証を突破したことを発表しました。ただし、2,500枚の写真を撮影し、そのなかから条件のよいものを選んで使ったといい、通りすがりに撮影したような写真で静脈認証を突破するのは難しいとしています。
とはいうものの、難しいとされてきた虹彩認証と静脈認証が突破されたことには留意しましょう。
生体認証の問題点
いったん生体認証が複製されてしまうと、ユーザーにとっては大変困ったことになります。
というのは、パスワードやICカードは、申請すれば変更がききますが、生体認証は生涯変更できないからです。現在の技術で、指紋や静脈パターンを安易に登録することは避けた方がよいと言えます。IBMでは最近、この問題を克服するため、「取り替えられるバイオメトリクス」技術の開発を進めています。
というのは、パスワードやICカードは、申請すれば変更がききますが、生体認証は生涯変更できないからです。現在の技術で、指紋や静脈パターンを安易に登録することは避けた方がよいと言えます。IBMでは最近、この問題を克服するため、「取り替えられるバイオメトリクス」技術の開発を進めています。
参考サイト
- ミツロウ製のダミーで静脈認証を突破:スラド,2019年1月3日
- 複数の指紋とマッチする合成指紋「DeepMasterPrints」、研究者らが作成:CNET Japan,2018年11月19日
- 「生体認証を信頼できる」は64.3%:ITmedia
- 生体認証やICカード認証の弱点を認識せよ:ITmedia
- 「生体認証システムの導入・運用事例集」及び「バイオメトリクス・セキュリティ評価に関する研究会 調査報告書」:IPA
- 松本勉研究室
- 松本勉「金融取引における生体認証について」
- 「取り替えられるバイオメトリクス」、IBMが開発:IDG, ITmedia
(この項おわり)