レビュー

iPhoneの指紋認証を「ゼラチン指」で突破!………じゃあ「指紋認証は弱い」と言えるのか?

~指紋認証は「ゼラチン指」で突破できるのか?(2020年版)【後編】~

 1月22日掲載の前編では、認証方式の種類や指紋認証の利点などについて紹介した。続く後編の今回は、ゼラチンによる偽の指紋で指紋認証システムを突破できたかどうかと、それらを通してセキュリティについて考えていく。(編集部)

なんとすべての指紋認証をゼラチン指で突破!

 さて、結果はどうだったであろうか。結果は以下である。

iPhone 6iPhone SEiPhone 6siPhone 7iPhone 8iPhone X,11
認証方法指紋認証指紋認証指紋認証指紋認証指紋認証顔認証
世代Touch ID第1世代Touch ID第1世代Touch ID第2世代Touch ID第2世代Touch ID第2世代
ゼラチンでの認証突破5人中1人成功5人中1人成功5人中1人成功5人中1人成功5人中1人成功

 結果は、実験した5つのiPhoneすべてで認証突破に成功した。iPhoneでは、iPhone 6SからTouch IDの第2世代になり、認証精度が向上している。それでも、指紋認証を搭載したもっとも新しいiPhone 8でも突破できてしまった。

【ゼラチンでiPhoneの指紋認証を突破!】

 とはいうものの、実は今回成功したのは、テストした5人の指紋のうちの1人(私)だけ。

 ゼラチンの調合がとても難しく、また、樹脂で取得した指紋が、ハッキリしているかどうかも成否を分けたと思う。

 共著者の西本も、何度も試行錯誤しながらチャレンジしたが、失敗だった。

 また、Android端末でも実験をした。試行回数がそれほど多くないので正確なデータではないが、8機種中6機種で突破することができた。何度も繰り返せば、成功確率がさらに上がる可能性がある。

指紋認証の精度は、「用途に合わせて」設定されている

 この結果を見て、「指紋認証の精度は悪い」と思ってしまう人もいるだろう。しかし、実はそうでもない。その証拠に、「ゼラチン指」では、企業向けの指紋認証装置は全く突破できなかったからだ。

 例えば、先ほど紹介したDDS社が発売しているPC用の指紋認証装置で試したところ、認証どころか、ゼラチンの指では指紋登録すらできなかった。DDS社の場合、特徴点、凹凸だけでなく、人が持つ誘電率を測定して、人間の誘電率と大きく異なる物質だと反応しないようにしているそうだ。

 では、スマホの場合はなぜ精度が悪いのか。

 その理由は、スマホとPCでの利用環境の違いにある。会社のPCは、本人の目が届く範囲に常にあるわけではない。本人が帰社すれば他の人が自由に触れられる。何度も不正ログインを試みることも可能だ。だから、認証精度が低くて他人が認証を突破できてしまっては困る。

 一方、スマホは常時本人が携行し、他人が操作する可能性が非常に低い。だから、利便性を考慮して、認証精度とのバランスを取っていると考えられる。セキュリティを最優先にして認証精度を厳しくしてしまうと、本人が認証に失敗することが頻繁に起こる可能性がある。そうなったら利用者は、不便でたまらない。

 スマホの画面ロックには、パスコードや9つの点を結ぶパターンロックなどもあるが、満員電車などでは背後から覗き見られるリスクがある。スマホに限って言えば、指紋認証などの生体認証は、これらの方式に比べて格段にセキュリティが高いと言える。

おまけ:そもそも、他人の指紋の型を取ることは可能なのか

 生体認証の長所として、生体情報は変えることが難しい(=変えられない)ことをお伝えした。しかし、これは短所でもある。仮に指紋の型を取られてしまうと、パスワードと違って自分の指紋を変えることはできない。指紋認証を続ける限り、不正利用をされ続けるリスクがあるのだ。

 とはいえ、そもそも、他人の指紋を立体的に取ることが可能なのだろうか。皆さんも想像にたやすいだろうが、基本的には不可能である。試しに、私が寝ている夜中に、家族にお願いして型を取れるかやってみた。

 以下、真夜中なので写真が見えづらいが、寝ている私の指に、型を取る樹脂を当てている様子である。私はすぐに目が覚めた。泥酔していると、気が付かつかない可能性もあるが、第三者が指紋の型を不正に取ることは、現実にはなかなか困難な話だといえるだろう。

実際の体験を通してセキュリティ教育を

 私は業務上、セキュリティセミナーを開催したり、勉強会を行ったりすることもあるが、最も参加者の反応がいいのが、このゼラチンによる指紋認証の実験だ。

 ビデオをお見せする場合もあれば、参加者に実演してもらったこともある。以下、社内研修の1パートとして、ゼラチン指の作成を実験してもらったときの様子である。表情は映していないが、皆さん、とても楽しんで実施してくれた。

 セキュリティ対策の研修は、内容上、どうしても退屈な時間になりがちで、結果、「受講生の居眠りタイム」になってしまうことも少なくない。

しかし、セキュリティ対策はしっかりと進めなくてはいけない。つまらない座学をして皆が眠ってしまうよりは、このような実験を紹介したり、実際に体験をしてもらうことも大事だと思う。

 その結果、セキュリティの知識を身に付けたり、意識を高めてもらうことで、有効なセキュリティ教育の一つになりうる。

 今回の指紋認証に限ったことではないが、社内でセキュリティの啓蒙をする際には、こういった取り組みを織り交ぜることも、ありではなかろうか。

著者プロフィール

・粕淵 卓(かすぶち たかし)
西日本電信電話株式会社 ビジネス営業本部 クラウドソリューション部 ビジネスイノベーション営業担当 セキュリティビジネス推進所属。セキュリティの専門家として大規模なセキュリティシステムの設計、インシデント対応、コンサルティング、セミナーなどを担当。日本CSIRT協議会 関西地区活動委員。保有資格は、情報処理安全確保支援士、ITストラテジスト、システム監査技術者、技術士(情報工学)、CISSPなど多数。著書に「4コマ漫画でさくっとわかるセキュリティの基本(ソシム社)」などがある。

・西本 真弓(にしもと まゆみ)
 所属同じ。保有資格は、情報処理安全確保支援士、CISSPなど。2019年10月に、NTT西日本グループの女性を中心としたセキュリティイベント「ひいらぎ会」を主宰。