指紋、顔認識プロファイル、さらには暗号化されていないユーザー名とパスワード、そして100万人以上の従業員の個人情報といった生体認証情報がオンラインで発見されました。公開されたデータベースは、建物への入館に利用されるWebベースの生体認証システム「Biostar 2」を販売するセキュリティ企業Supremaのものと思われます。
SupremaのBiostar 2が100万件の生体認証プロファイルを公開
先月、SupremaはBiostar 2システムがAEOSと呼ばれる別のアクセス制御システムに統合されたと発表しました。AEOSは、政府機関、銀行、英国警視庁など、83カ国5,700の組織で使用されています。
イスラエルのセキュリティ研究者ノアム・ロテム氏とラン・ロカー氏は、仮想プライベートネットワーク(VPN)サービスを評価する企業であるVPNMentorのセキュリティチームと協力し、ポートをスキャンしてよく使われるIPブロックを探し、組織内でのデータ漏洩につながる可能性のあるセキュリティホールを見つけようとした。
先週の調査で、研究者らは保護されておらず、ほぼ暗号化されていないBiostar 2データベースを発見しました。データベースには、管理パネル、ダッシュボード、指紋データ、顔認識データ、ユーザーの顔写真、暗号化されていないユーザー名とパスワード、施設へのアクセスログ、セキュリティレベルと許可、スタッフの個人情報など、2,780万件のレコードと23GB相当のデータが含まれていました。
研究者らによると、管理者の認証情報さえも平文で保存されていたようだ。また、データベース内のデータを変更し、新しいユーザーを追加することもできたと主張している。つまり、研究者らはBiostar 2のアカウントを編集し、自身の指紋を追加することで、そのユーザーがアクセス可能なあらゆる建物にアクセスできた可能性がある。これにより、Biostar 2はデータベースにアクセスできる者に対して実質的に無力になった。
Supremaはハッカーによる生体認証データの盗難を容易にした
研究者によると、SupremaはデータベースをWebからのアクセスから完全に保護できなかっただけでなく、指紋や顔認証情報を自社サーバー上の集中データベースに保存しないなど、生体認証に関する業界のベストプラクティスも遵守していなかったという。
研究者たちは論文の中でSupremaについて次のように述べています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
「(リバースエンジニアリングできない)指紋のハッシュを保存する代わりに、悪意のある目的でコピーできる人々の実際の指紋を保存しているのです。」
AppleやほとんどのAndroidスマートフォンメーカーなどの企業は、生体認証データの暗号化ハッシュをセットアップ時に作成することで、実際の生体認証データを保存する必要がないようにしています。このため、たとえ誰かがSecure EnclaveやAndroid StrongBoxハードウェアセキュリティモジュール(GoogleのTitan Mなど)からこのデータを盗み出そうとしても、抽出できる有用な生体認証データはほとんどありません。
一方、Supremaやその他の集中型生体認証データベースから盗まれた生体認証データは、悪意のある攻撃者によって永久に再利用される可能性があります。被害を受けたユーザーにとって唯一の軽減策は、将来的に別の指紋を生体認証に使用するか、将来の生体認証システムが大幅に進化し、盗まれた古くて基本的な生体認証データに対応できなくなることです。
生体認証セキュリティを不適切に扱っているのはSupremaだけではない
Equifaxのデータ漏洩やDHSの顔認識データへのハッキングで見られたように、一般市民はこうした事態にほとんど口出しできず、犯罪行為となるほど軽微なセキュリティ対策を講じている企業や機関は、せいぜい少額の罰金で済むことが多い。一方、このような機密データを扱う企業や機関に対する規制は、近い将来にこのようなデータ漏洩を防ぐにはあまりにも遅すぎる。
ロテム氏は、他にもセキュリティが不十分な生体認証システムが数多く存在すると指摘した。
「これは非常に一般的なことです。文字通り何百万ものオープンシステムがあり、それらを調べるのは非常に面倒な作業です。しかも、中には非常に機密性の高いシステムもあります。」
ロテム氏は、セキュリティ問題への迅速かつ丁寧な対応の重要性についても言及した。一部の企業は、自社製品のセキュリティ上の欠陥を指摘されると、そのセキュリティホールを悪用するつもりのない誰かが最初に発見してくれたことに感謝するどころか、いまだに腹を立てる傾向がある。Supremaも後者のグループに属していたようで、研究者によると、同社は欠陥に関するメッセージに一切返信しなかったという。
SupremaはThe Guardianに対し、欠陥は修正したと述べたが、Rotem氏とLocar氏より前に同じ欠陥に気付いていた人がいたとしたら、既にクローンを作成し、他者に販売したり、私腹を肥やすために悪用していた可能性もある。また、そうなれば、それらの生体認証プロファイルは悪用される可能性がある。つまり、Supremaが「セキュリティホールを修正した」としても、もはや意味をなさないかもしれない。なぜなら、今やそれらの生体認証プロファイルはクローン化され、悪意ある目的に利用される可能性があるからだ。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
