カオス・コンピュータ・クラブ(CCC)のセキュリティ研究者、ジャン・クリスラー氏(ニックネームは「スターバグ」)は、サムスンギャラクシーS8の出荷開始からわずか1か月で、同機種の虹彩認証システムを回避した。
生体認証のトラブル
サムスンの虹彩認証システムを突破した研究者は、指紋の型を使ってiPhoneのTouch ID指紋認証システムを突破した人物でもありました。それから間もなく、クリスラー氏はインターネットからダウンロードした指の写真を使ってAppleの指紋認証システムも突破することに成功しました。
SamsungのGalaxy S8には、指紋センサーに加え、顔認証システムと虹彩認証システムが搭載されています。しかし、Samsungは顔認証システムで繰り返される失敗からほとんど何も学んでいないようです。S8の顔認証は発売日当日、単なる写真でバイパスされてしまったのです。
これまでの研究で明らかになったように、最高の顔認識システムでさえ、それを回避しようとする者といたちごっこを繰り広げることになります。実際には、こうしたシステムのほとんどは簡単に破られてしまうのです。
虹彩スキャンシステムも、それほど優れているようには思えません。顔スキャンシステムと同じ原理で動作する傾向がありますが、顔の特徴ではなく虹彩の特徴を分析する点が異なります。理論上は、回避するのはより困難であるはずですが、クリスラー氏が示したように、その難しさはそれほど大きくありません。
「虹彩認証によるユーザーへのセキュリティリスクは、指紋認証よりもさらに大きくなります。なぜなら、私たちは虹彩を頻繁に露出しているからです。状況によっては、インターネット上の高解像度画像で虹彩を捉えるのに十分な場合もあります」と、CCCの広報担当者、ディルク・エングリング氏は述べています。
虹彩スキャンを回避できる写真
この問題を発見したクリスラー氏によると、サムスンギャラクシーS8の虹彩認証システムは、フェイスブックやインターネット上の他の場所にアップロードする自撮り写真など、高画質の写真によって回避される可能性があるという。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
しかし、Galaxy S8の虹彩スキャンシステムを回避する最も簡単な方法は、200mmレンズを搭載したデジタルカメラで最大5メートルの距離から写真を撮ることです。つまり、誰かに虹彩プロファイルを撮影してもらうために写真をオンラインにアップロードする必要もありません。
攻撃者はレーザープリンターで写真を印刷し、スキャンした虹彩の上にコンタクトレンズを重ねて目の曲率を模倣する必要があります。こうすることで、Galaxy S8の虹彩認証システムに本物の目があると思わせることができます。
サムスンは「Samsung Pay」に虹彩認証を導入しました。これは、攻撃が成功すると、スマートフォン本体だけでなく、同社の決済システムもロック解除される可能性があることを意味します。銀行を含む他の企業も、ATMの主要認証方法として虹彩スキャンの導入を検討しています。もし、サムスンのGalaxy S8の虹彩認証が簡単に突破されてしまうと、銀行の顧客にとって大きな問題となる可能性があります。
「携帯電話のデータを大切にし、支払いにも使いたいと考えているなら、従来の暗証番号による保護を使用する方が、身体の特徴による認証よりも安全なアプローチです」とエングリング氏は警告した。
