確かに、Touch ID は、指の第一関節の内側部分で表面に付ける刻印を使用して、モバイル デバイスの生体認証セキュリティを普及させ、主流化しました。
iPhone 5sで初めて搭載されたホームボタンに組み込まれたAppleの自社製センサーは、イスラエルのスマートセンサーメーカーAuthenTec社の高度な技術に基づいており、クパチーノの同社は2012年7月に同社を3億5600万ドルで買収したと報じられている。
しかし、ヨーロッパ最大のハッカー団体であるカオス・コンピュータ・クラブの主張によれば、既存の指紋ベースのセキュリティソリューションは、誰かの指の一連の写真から指紋画像を生成することで簡単に回避でき、物理的な指紋はまったく必要ではないという。
VentureBeatが伝えたところによると、ハッカーたちはドイツ国防相ウルズラ・フォン・デア・ライエンの指紋をコピーすることで概念実証に成功したという。
10月の記者会見中に入手したフォンデアライエン氏の親指のクローズアップ写真や、さまざまな角度から撮影した写真を使用したと、ドイツのハンブルクで開催された第31回カオス・コンピュータ・クラブの年次大会で「スターバグ」ことヤン・クリスラー氏が述べた。
ハッカーによると、彼らは写真から実用的な指紋を生成するために VeriFinger と呼ばれる市販のソフトウェアを使用したとのことだ (彼のドイツ語での講演全文は YouTube で視聴可能)。
同様の方法を使って顔認証などの他のセキュリティ方法を欺くこともできる、と彼は生体認証の概念的な弱点を示して主張した。
Chaos Computer Club の名前は聞き覚えがあるかもしれない。昨年、同チームは「偽の指」と呼ばれる手法で Apple の Touch ID 保護の回避に成功した。
この技術では、人の指紋の非常に高解像度の写真(2400 dpi)を撮影し、それを濃いトナー設定で透明シートに印刷し、ピンク色のラテックスミルクで塗りつぶして指紋のレプリカを作成し、これを Touch ID センサーに当てて iPhone のロックを解除します。
表面が磨かれた物体から指紋をコピーするのとは対照的に、カオスの最新技術は物理的な指紋さえ必要としないため、一部の人にとっては心配の種となるかもしれない。
クリスラー氏は、生体認証に使用できる指紋は「標準的な写真カメラ」を使用するだけで公共のイベントで人物から簡単に採取できると述べ、「政治家は公の場で話す際には手袋を着用するだろう」と期待を示した。
一方、Chaos Computer Club は、誰かの指の一連の写真から生成された指紋レプリカをタップして Touch ID を回避できることを (まだ) 証明していないことを強調しておく価値がある。
絶対に破られない生体認証セキュリティシステムなど存在しません。Touch IDも例外ではありません。生体認証セキュリティは通常、パスワードや、iPhoneの場合はPINコードといった他のセキュリティレイヤーによって強化されています。
生体認証のみで本人確認を行うべきではないため、AppleはデバイスにTouch IDを設定する際にパスコードの作成を義務付けています。セキュリティをさらに強化するため、再起動のたびにデバイスのロックを解除するにはパスコードを入力する必要があります。また、Touch ID経由でApp Storeでの購入を再承認するにはApple IDのパスワードを入力する必要があります。
Apple は iPhone 6、iPad Air 2、iPad mini 3 のリリースにより Touch ID の信頼性、パフォーマンス、セキュリティを向上させましたが、前述のように、このシステムはまだバイパス可能です。
だからといって、デバイスのTouch IDを無効にする必要はありません。Appleの指紋認証は非常に便利です。デバイスのロック解除やApp Storeでの購入承認に使えるだけでなく、対応サードパーティ製アプリ(増え続ける)のコンテンツ保護にも使えます。
攻撃者がこのような偉業を成し遂げるには、相当のスキルと高価な機器、そしてリソースを駆使する必要があります。幸いなことに、限られたスキルと生体認証セキュリティに関する基本的な知識を持つ一般ユーザーには、そのようなことは不可能です。
[ベンチャービート]
投稿上部の画像:Gizmodo。
