レビュー

指紋認証は「ゼラチン指」で突破できるのか?(2020年版)【前編】

~指紋認証システムについて知る~

 2013年9月、iPhone 5sに指紋認証機能(Touch ID)が搭載された。当時としては画期的なことであり、Android系のスマホにも指紋認証機能が一気に広まった。

 しかし、セキュリティ面で不十分な点の指摘もあった。それは、ゼラチンで作った「偽」の指で指紋認証を突破できるというものだ。実際、当時はそのように突破した様子を掲載した記事も多数見かけた。以下は、iPhone 6において、ゼラチンの指で認証を突破した様子である。

 しかし、時代は令和になり、今年はオリンピックが開催される。IT進化は非常に速く、AIが小説を書いて文学賞の予選も突破する時代である。今までに比べて100倍早くなると噂される5Gのサービスも始まる。6年前のiPhone 5s発売時に比べて、技術が大幅に進化しているに違いない。

 よし、最新のスマホで試してみよう!!

後編目次(24日掲載予定)

▼なんと、すべての指紋認証をゼラチン指で……
▼指紋認証の精度は、「用途に合わせて」設定されている
▼おまけ:そもそも、他人の指紋の型を取ることは可能なのか
▼実際の体験を通してセキュリティ教育を

セキュリティ面で優れた指紋認証

 さて、実際に実験する前に、指紋認証の仕組みについて、簡単に確認しておこう。

 本人であるかどうかを認証する本人認証には、知識認証、所有物認証、生体認証の3つがある。

認証の方法代表例認証の仕組み
知識認証パスワード、スマホのパターンロック本人だけが知っている「知識」で認証する
所有物認証ICカード、ワンタイムパスワード本人だけが持つ「所有物」で認証する
生体認証指紋認証、静脈認証、顔認証、虹彩認証本人の「生体情報」で認証をする

 指紋認証は3つ目の生体認証に分類される。

 生体認証は、パスワードと違って忘れることがなく、第三者に不正利用される可能性が極端に低い。銀行のATMでも生体認証(多くは静脈)が利用され、セキュリティを高めるには必須の認証方法と言える。

 また、生体情報は変えることが難しい。例えば、夜間に不正にデータを盗み出され、ログから盗み出した社員が特定できたとする。もし、パスワードによる認証が行われていたのであれば、「第三者に盗まれた」という可能性もある。

 しかし、生体認証が行われていた場合、本人の行動であったことはほぼ間違いない。よって、「否認防止」という点でも、生体認証は他の認証方式よりも優れているのである。

強みは小型かつ安価であること

 では、生体認証の中でどの方法が優れているのか。

 ここで詳細な比較は割愛させてもらうが、小型である点と、安価である点が指紋認証の大きな利点である。

 まず、指紋認証装置は広く普及していることもあり、価格が安い。それに装置が小さい。以下はDDS社の指紋認証装置だが、PCのUSBポートから1㎝ほどハミ出る程度である。銀行ATMなどで利用されている静脈認証は認証精度が非常に高いが、ここまで小型にすることは、現在の技術では難しい。

PCの左側に付属しているのが指紋認証装置

 PCやシステムにログインする際、英数記号入り8文字以上といった、複雑なパスワードを求められることが多い。指を軽く触れるだけでPCにログインができるのは、とても便利だ。

技術的には”凹凸の認識”がポイント

 指紋認証の技術的な仕組みについて、簡単に紹介しておこう。

 指紋認証を使うには、まず指紋の登録作業が必要である。このとき、指紋の特徴点を記録する。特徴点とは、指紋が渦を巻いたり分岐したりなど、他と比べて特徴的な点のことである。

 認証する際には、実際の指紋の特徴点が登録データと一致しているかを照合する。この仕組みは、指紋認証に限らず静脈認証や顔認証などの他の認証方式も同様である。

 では、どうやって特徴点を読み取るのか。スマホで広く利用されているのが、静電容量式と言われている方式である。これは、指が指紋認証部分に接触すると、電荷(=かなり乱暴だが、「電気」のようなものと考えてほしい)が変化する。

 その変化の量で指紋の形、凹凸を認識するのだ。例えば、紙などに印刷した「偽の指紋」は、平面なので凹凸がない。だから凹凸による電荷の変化が感知できず、紙では指紋の登録さえもうまくいかない。

指紋を印刷した紙だと、タッチがうまくいかず「軽く触れて」とメッセージが出る。

 ちなみに今年発売される新型iPhoneでは、現在の顔認証(Face ID)から、指紋認証に戻るという説がある。そして、そこで検討されているのは、従来の「静電容量方式」ではなく、「光学方式」や「超音波式」という新しい方式と言われている。

 方式を変更する目的の一つが、ディスプレイ画面を広く使うことだ。「静電容量方式」の場合は、ボタンを押して、静電容量の変化を見る必要があるので専用のボタン(iPhone 8などのホームボタン)が必要である。

 「光学方式」は、光を当てて写真を撮る方式なので、ディスプレイ画面の下層に配置した指紋センサーでも認証機能を持たせることができる。また、光ではなく、超音波で立体的に指紋を読み取れるものが「超音波式」である。

「偽の指紋」をゼラチンで作ってみる

 この世に全く同じ指紋の人は存在しないと言われている。だから警察でも犯人を特定する決定的な証拠として指紋が使われる。本人を確実に特定するのに、指紋認証は優れた技術である。

 しかし残念ながら、指紋認証は、静脈や虹彩認証と違って、認証情報がある「指紋」部分が露出している。だから、指紋の型を樹脂などで取得して、物性の似ているゼラチンで偽造できてしまう。

 後編で触れるが、これには技術的な対策法もあるのだが、実際の機器にそれが使われているかどうかはまた別問題だ。

 それを検証するためにも、まずはゼラチンで偽造した指を作ってみよう。

(1)用意するもの
 用意するものは、以下の2つ。

 ・スーパーなどで売られている料理用のゼラチン →約150円(6袋入り)
 ・日曜大工などで用いられる型を取る樹脂 →約700円(3個入り)

 これ以外には、お湯と、成功するまでやり切る根気が必要である。

(2)ゼラチン指の作り方
 では、ゼラチンで偽物の指を作ってみよう。

 1.指の型を作る
 型を取る樹脂をお湯につけて柔らかくし、指を押し付けて型を取る。

 型は冷蔵庫で30分ほど冷やすと固まる。

 2.ゼラチンの指を作る
 ゼラチンをお湯で溶かし、先ほど作成した型に流し込む。ゼラチンは、固すぎても柔らかすぎてもダメで、この調合がとても難しい。何度も失敗した。

 そして、作成したゼラチンの指が完全に固まるまで1時間ほど待つ。

 実験の結果は後編にて掲載したい。後編では、ゼラチン指で指紋認証システムを突破できたかどうかと、セキュリティについて言及していく。

著者プロフィール

・粕淵 卓(かすぶち たかし)
西日本電信電話株式会社 ビジネス営業本部 クラウドソリューション部 ビジネスイノベーション営業担当 セキュリティビジネス推進所属。セキュリティの専門家として大規模なセキュリティシステムの設計、インシデント対応、コンサルティング、セミナーなどを担当。日本CSIRT協議会 関西地区活動委員。保有資格は、情報処理安全確保支援士、ITストラテジスト、システム監査技術者、技術士(情報工学)、CISSPなど多数。著書に「4コマ漫画でさくっとわかるセキュリティの基本(ソシム社)」などがある。

・西本 真弓(にしもと まゆみ)
 所属同じ。保有資格は、情報処理安全確保支援士、CISSPなど。2019年10月に、NTT西日本グループの女性を中心としたセキュリティイベント「ひいらぎ会」を主宰。