75
Android PはOEM各社によるより強力な生体認証システムの導入を促進する

3つの認証要素。画像提供:Google

3つの認証要素。(画像提供:Google)

Android P 以降、デバイスメーカーは、顧客に優れた生体認証エクスペリエンスを提供したい場合、生体認証システムの新しいセキュリティ重視のベンチマークに合格する必要があります。

FARとSAR生体認証ベンチマーク

スマートフォン業界では、生体認証の精度と正確さをベンチマークするために、他人受入率 (FAR) と他人拒否率 (FRR) という 2 つの主要な指標を使用しています。

1つ目は、携帯電話が生体認証入力を誤ってあなたのものと認識する確率を示します。例えば、FARが50,000分の1の場合、たとえその人の指紋がデバイスに登録されていなくても、50,000回のうち1回ランダムに選ばれた指紋で携帯電話のロックを解除できる可能性があります。

一方、FRRは、携帯電話が登録所有者であるあなたを認識できない頻度を示します。この2つの指標は矛盾しているようにも見えます。指紋や顔を携帯電話が認識しやすくなるほど、他の人がそのデバイスの所有者として認識される可能性が高くなるからです。

SARとIAR: セキュリティ重視の新しい生体認証ベンチマーク

Googleは、FARとFRRの指標だけでは全体像を把握できず、攻撃者にとってそれほど重要ではないと述べています。そのため、Android 8.1では、なりすまし許容率(SAR)と偽者許容率(IAR)という指標も導入されました。これら2つの指標は、攻撃者が生体認証システムをどれだけ容易に回避できるかを測定します。

筆者が Apple の Face ID システムをバイパスした以前の投稿で述べたように、Apple の「100 万分の 1」という FAR は非常に誤解を招くものです。なぜなら、攻撃者が iPhone の Face ID をバイパスする成功率は、システムにランダムに 100 万の顔を投げつけるよりもずっと高いからです。

具体的には、あなたの携帯電話を回避しようとする攻撃者は、おそらくオンラインで公開されている写真も収集し、それらから 3D プロファイルを作成し、システムの回避に成功するまで機械学習でそれを加工しようとするでしょう。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

GoogleのSARは、攻撃者が被害者の音声録音やデバイス所有者の顔写真、指紋写真などを利用するといったなりすまし手法に対応しています。同様に、IAR指標は、攻撃者がユーザーの生体認証情報(機械学習による音声生成など)を模倣しようとする可能性も考慮しています。

強力な生体認証システムと弱い生体認証システム

Android P以降、GoogleはAndroidデバイスの生体認証システムをSARスコアとIARスコアに基づいて分類します。生体認証システムがこれらの指標で7%未満のスコアを獲得した場合、「強力」とみなされ、7%を超えるスコアを獲得した場合、「弱い」とみなされます。

Googleは、7%という閾値は極めて恣意的なものであり、7%をわずかに下回るシステムが必ずしも十分なセキュリティを備えているとは限らないことを認めています。同社が7%という閾値を設定したのは、現在市場に出回っている生体認証技術のスコアが7%を下回る可能性があるためです。しかしながら、ユーザーにとっては、SAR/IARスコアが可能な限り低いデバイスを選ぶのが賢明でしょう。

Googleはまた、SAR/IARスコアは生体認証システムの実際の安全性を過度に単純化したものになっていると指摘しました。なぜなら、セキュリティを決定づける要因は多岐にわたるからです。おそらく、コードの品質や、生体認証データがハードウェアセキュリティモジュール内で分離されているかどうかも、その一つでしょう。こうした制約があるにもかかわらず、GoogleがSAR/IARスコアを使用するのは、エコシステム全体で拡張可能であり、少なくとも生体認証セキュリティに関しては、市場に出回っているAndroidデバイスがもたらす全体的なリスクをより容易に判断できるためです。

Google は、SAR/IAR が 7% を超えるデバイスに対して特定の制限も課します。

  1. スマートフォンが4時間連続でロック解除されない場合、ユーザーはPIN、パターン、またはパスフレーズを入力する必要があります。これは、72時間経過後にすべてのデバイスで同じ操作が求められることに加えて行われます。
  2. これらのデバイスはAndroid P BiometricPrompt APIでサポートされないため、SAR/IARが弱いデバイスの所有者は、生体認証を使用してサードパーティのアプリに認証することができません。
  3. デバイスは支払いを認証したり、KeyStoreの認証キーが関係する他のトランザクションに参加したりすることはできません。
  4. 携帯電話で生体認証を有効にする場合、ユーザーに警告を表示する必要があります。

Google によると、これらすべての対策は、より弱い生体認証を許可しながらも不正アクセスのリスクを最小限に抑えることを目的としている。

生体認証プロンプトAPI

Googleは最新のGoogle I/O開発者イベントで、BiometricPrompt APIを発表しました。このAPIにより、開発者はデバイスに依存しない方法でアプリケーションに生体認証を統合できるようになります。つまり、開発者は複数のスマートフォンベンダーによる生体認証の実装を個別に気にする必要がなくなります。

Googleは、Android OデバイスでBiometricPrompt APIを有効にするサポートライブラリも提供します。ただし、前述の通り、これらのデバイスはSAR/IARスコアが7%未満である必要があります。

ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。

Ecosystem
Posted by Lorlink