パスワードの「次」は? 次世代「認証システム」のトレンド(後編)

江添 佳代子

May 21, 2015 10:30
by 江添 佳代子

前編では、人体に直接的なデバイスを加える(貼り付ける、飲み込む、埋めこむ)タイプの生体認証システムを紹介した。今回は、「そこまでしたくない」と思われる人でも満足できそうな――かつ、指紋や虹彩やトークンを使わない――2つの認証システムについて取り上げたい。

イタリアの大手金融機関UniCreditが2013年3月に開発した決済システムは、富士通の手のひら静脈認証「PalmSecure」の技術をベースにしたものだ。PalmSecureは、赤外線センサーを利用して、顧客の手のひらから静脈パターンのデータを読み取る。UniCredit が欧州で初めてPalmSecureの顧客となった理由は、それが「指紋認証よりも格段に優れた認証システム」だと考えたからだ。
names UniCredit as first European customer for palm-scan authentication(Network World)

指紋も手のひらも、似たようなものではないのかと感じられる向きもあるだろう。しかし、PalmSecureと指紋認証との間には、いくつかの大きな違いがある。中でも決定的に違うのは、PalmSecureが単純な複製品に騙されないという点だ。PalmSecureが読み取るのは、手のひらの模様ではなく、静脈情報であるため、そのコピーを簡単に作ることはできない。

FUJITSU 生体認証 PalmSecure(富士通)

ここで、指紋認証が抱えている弱点、「偽造品に対する防御力の弱さ」を解説しておきたい。指紋認証を欺くための物理的なハッキングとして、ゼラチンなどの柔らかい素材に指紋を再現した人工指(通称「グミ指」)を利用する手法がよく知られている。グミ指と本物の指を見分けられないデバイスは少なくない。そして、この手法が恐ろしいのは、必ずしも現物の指で型取りしなくてもよい点だ。攻撃者は、あなたの協力を得なくとも、あなたの所持品や家のドアから検出した指紋をコピーし、勝手にあなたのグミ指を作ることができる。

セキュリティ自由研究:この夏、グミ指を作ってみないか(@IT)
グミ指によるハッキング例:自分のデバイスから採取した指紋を食用ゼラチンで再現した、上野宣氏の詳細なレポート。

この弱点は深刻だ。人間の指紋は、手が触れた場所であればどこにでも残ってしまう。つまり私たちは、自分の認証情報が描かれた紙を、無数にボロボロと落としながら歩いているようなものだ。その紙は誰でも拾える。また、落とした側は「誰かに拾われたこと」に気付かない(それはパスワードの盗難よりも、さらに発覚しにくい)。悪意を持った人物に一度でもそれを拾われたら、一巻の終わりとなる。なぜなら指紋はパスワードと違って、自分の意思で変更することができないからだ。

しかし手のひらの静脈認証の場合は、このようなコピーを作られる不安がない。物騒な例ではあるが、たとえば残忍なスパイが、あなたの持っている国家機密情報にアクセスしたいと考えて、あなたの手首を切り落としたとする。その「本物のあなたの手」を使ったとしても、そこに血液が循環していない限り、スパイは手のひら静脈認証を突破できない。もしかしたら、あなたは出血多量で亡くなってしまうかもしれないが、少なくとも機密情報は守られるだろう。

またPalmSecureは指紋認証と違ってリーダーに触れる必要がない。これは感染症などの防止にも有効であり、不特定多数の人々が利用する端末で用いられる際の抵抗感が軽減される。特に握手の文化が根付いている国では受け入れられやすい特徴だろう(※欧米の一部では、手の衛生に関して日本以上に神経を尖らせる傾向がある。ちなみに筆者が住んでいるバンクーバーでは、銀行やショッピングモールなど、至るところに消毒ジェルが設置されている。また「咳やくしゃみの際に口を手で覆うこと」は御法度だ)。

一方では「人間の行動」を読み取り、それを認証に用いるための研究・開発も進んでいる。これは指紋や静脈、あるいは何らかの体内データを使ったものとは全く異なるアプローチの生体認証と言えるだろう。そのうちの1つ、「Active Authentication(AA)」と呼ばれる技術は、タイピングの速度やキーを押す長さ、マウスの使い方、頻繁に見られるタイプミスなどから一意的なテンプレートを作り、それを個人の認証情報として利用するものだ。つまり、それは人間の「両手と脳」を行動から読み取る認証ということになる。

この認証システムの主な利点としては、何も持ち歩く必要がないこと、何も身体に取り入れる必要がないことが挙げられる。また、その実施形態によっては非常に低コストで運用できる可能性が高い。認証リーダーが搭載されたデバイスや、あるいは2要素認証のためのトークンをユーザーが入手しなくてよいからだ。また、情報を発信するためのカプセルやシールを定期購入する必要もない。
欠点としては、他のほとんどの生体認証がそうであるように、自分の認証データを自分の意思で変更できない、という問題が挙げられる。もちろん「個人の動作」が盗まれることはないと考えられているが、そこで読み取られた情報が「データ」として扱われるかぎり、そのデータを第三者に盗まれ、何らかの方法で認証が破られる可能性は残る。

このAAの認証は、数年前から実現可能だと語られてはいるものの、なかなか現実でお目にかかることができない技術の1つだ。最近の情報では、2015年1月に掲載された英国『Sky News』の記事がある。この記事は、米軍のシステム開発の重要拠点であるウエストポイント(米陸軍士官学校)が、AAのプログラムを開発するために、International Biometric Group(IBG)と契約を結んだときの契約書を取り上げている。IBGは、その研究費として300万ドルの資金を提供されたという。

Military Signs Deal For ‘Next Gen Passwords’(Sky News)

潤沢な機関によって開発を支援された技術は、飛躍的に進歩する可能性がある。ただし、米軍は銀行でも決済業者でもないので、その用途は顧客の個人情報を守るためではないだろう。どちらかと言えば、百年以上前から存在する法執行機関の指紋鑑定に近い役割を果たすはずだ。その技術が民間に転用されるまでには時間を要するかもしれない。

これらの生体認証システムの中に、今後の主流となるような認証技術があるのかどうかはまだ分からないが、いずれにせよパスワードや指紋認証ではない「何か」が待ち望まれていることは明白だ。これからの数年間では、インターネットに接続される様々なタイプの製品(いわゆるIoT製品も含めて)が莫大に増え、それらが扱う個人情報もますます機微になることが予想されている。確実で利便性の高い認証技術の需要はさらに高まるだろう。

今から5年後の世界が、パスワードで溢れていないことを祈りたい。車に乗るたび、ガレージを開けるたび、家に入るたび、風呂を沸かすたび、テレビを見るたび、郵便をチェックするたび、常にパスワードの入力を求められるのは悲惨だ。そしてそれは、非常に単純なサイバー攻撃の危険に、相変わらず晒され続けている未来でもある。そのときの私たちが手を抜いて、複数の場所で単純なパスワードを使い回したり、あるいは各デバイスの本体にパスワードを保管したりするようなことがあれば、一度の攻撃であらゆるタイプの個人情報が盗まれるだけでなく、遠隔操作によって自宅の設備が物理的に破壊されるかもしれない。

そんな馬鹿げた未来が訪れるはずはない、と果たして断言できるだろうか。現在の私たちの生活も、数年前と比較すれば、インターネットと繋がる機会が飛躍的に増えている。職場や自宅でPCを利用するだけでなく、日々スマートフォンやタブレットを持ち歩き、膨大な情報に触れている。そうしなければ、もはや生活が成り立たないからだ。仕事で、趣味で、様々なサービスの異なるアカウントを取得している私たちは、複数のデバイスのそれぞれのスクリーンで、おそらく1日に数十回はパスワードの入力画面と向き合っている。もしも5年前、あるいは10年前の世界から来たタイムトラベラーがその様子を見たら、「まだパスワード認証なのか? 嘘だろ!」と叫ぶかもしれない。現代の私たちの生活はすでに、パスワードの技術が適用できる限界をとっくに超えているのではないだろうか。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…