iPhone5sの指紋認証「Touch ID」の安全性
iPhone5sとiPhone5cが9月20日発売が決定し、docomo版も出ると言うので期待です。
iPhone 5sに搭載された指紋認証センサーとカメラ、iPhone 5c公式ムービー - GIGAZINE
docomo端末は3000円支払えばSIMロックの解除ができるので、他のキャリアのSIMが使えます。
LTE回線のみならauのSIMも利用可能に。AndroidじゃないのでiPhoneは無理かもしれないですが…
SIMロック解除の手続き | お客様サポート | NTTドコモ
さてさて今回は新機能の「Touch ID」に関して思った事をチラ裏として書きたいと思います。
チラ裏ですよ?
指紋認証「Touch ID」
今回のアップデートでなんと指紋センサー「Touch ID」が搭載し、
指紋認証でロック解除やiTunes Storeで楽曲等の購入ができるそうです。おおすげぇ。
しかしこれはどうなんでしょう?
スマフォに指紋センサーって必ずしもとても良いとは限らないと思うんです。
iPhone 5sの指紋認証機能「Touch ID」、未来的なイメージの裏にある課題
恐らく指紋認証の大規模な普及に懐疑的な人は大きく2つの心配をしている気がします。
「指紋データ=変更できないパスワード」の盗難
最初の項目は割りと馬鹿げた陰謀論的な感じですが、知らないうちに利用されてしまう不安です。
ただ、
とあるので、iPhone5sやapple自体には問題はなさそうです。多分。
しかしウイルスが仕掛けられているページやアプリをインスト―ルした場合はまた別の話でしょう。
上にあるよう指紋データは暗号化されるので仮に漏洩しても安心ですが、
常駐型のウイルスに乗っ取られて通常のシステムより先にスキャン情報を取得されたら?
人気機種で指紋認証対応なのはiPhone5sぐらいでしょうが、
Xperia、GALAXY、NexusなどAndroid機種でも導入されれば、
iPhoneだけの問題ではなくなってくると思います。
AppstoreやGooglePlayは登録アプリのチェックを行っていますが、
やはり100%安全とは言い切れなさそうです。
アップル「App Store」に初のマルウェア « WIRED.jp
Google Playでの検査をすり抜ける、自己更新型アプリに注意
指紋認証が一般的に普及すれば様々なサービスで使われると思いますが、安易に使うのは考えものです。
先の2ちゃんねる個人情報流出事件では、パスワードを平文でテキスト保存していたと聞きます。
サービスによっては暗号化されずに、ほかの個人情報と紐付けられて流出する可能性もあります。
指紋は変更不可ですから一度漏洩すれば指紋認証のセキュリティレベルは落ちることになるでしょう。
指紋認証だけで本当に安全?
次に2つ目のセキュリティの低下です。こちらの方が現実味がある気がします。
まず、指紋認証のメリットはなくさない、利便性が高いなどがありますが、
通常のパスワードよりも強固なセキュリティとは言えないです。
バイオメトリクス認証は万全ではない,なりすましを許す可能性あり:ITpro
1.は指紋認証がパスワードと違って完全一致で認証されないところを突いた攻撃
2.ネット上にある指紋データを使用され、なりすます攻撃。上で書いた心配事がこれになるでしょうか。
3.は物理的に相手の指紋を採取して、模造したものでなりすます攻撃。
指紋は採取は割りと簡単に出来るようで、検出方法の1つにシアノ法があります。
一言で言うとアロンアルファなど瞬間接着剤をガス化したものを指紋に吹き付けると、
指紋に含まれる水分と結合し白く硬化するという感じです。
指紋検出シアノ法|法科学鑑定研究所
☆指紋の検出☆
本当にセキュリティが突破出来るのかわかりませんが、フェイク指紋の作り方
6つのステップとイラストでわかるフェイク指紋の作成方法 - GIGAZINE
追記:どうやら上の模造指紋で突破が可能なようです。
iPhone 5sの指紋認証「TouchID」を突破する方法が判明 - GIGAZINE
ソーシャル・エンジニアリングとの連携
指紋認証が大規模な普及となればソーシャル・エンジニアリングし易くなると思います。
ソーシャル・エンジニアリングは簡単に言えば、コンピュータやウイルスを用いない、
人間の隙やミスを突いて欲しい情報を聞き出す手法です。
@IT:ミトニック氏が教えるセキュリティ対策法
広く普及すれば周りの人間、特にスマフォを持ってる人の親指には鍵が付いている事と同じですから、
脳の中にあって見えない普通のパスワードより脆い気がします。
例えて言うなら、手にパスワードの刺青をしてる状態に近いでしょうか?
例えば、指紋の欲しい相手に自分のスマフォを渡して、親指をタップするゲームでもやらせれば、
結構簡単に取得出来てしまうのでは無いでしょうか。
指紋認証が様々なサービスで普及したら
今後もしかするとGoogle、Amazon、Facebook、twitterなどのアカウント認証に
指紋認証が採用されるかもしれません。
そうなるとデジタル・物理スプーフィングで得た指紋情報の利用方法が広がり、
相手の端末を入手せずとも、ネットから不正アクセスが可能になるかもしれません。
Appleが指紋認証で狙うもの - WirelessWire News
利便性を優先して指紋認証のみと言うのがよくないと思うのです。
指紋認証がパスワードよりも安全と思い込んで指紋認証だけのユーザーが増えると、
指紋認証だけでログインできるサービスが出てきそうです。
対策はどうするか
使うのならパスワードを組み合わせて2重セキュリティで使うのが最善だと思います。
最初にパスワード・パターン認証の後に指紋認証を行う。
順番が逆だと模造指紋が実際に使えるか試せてしまうのであまり良くないです。
まぁそもそもスマートフォン・Web全体で普及すればの話なので、
大して普及しないならあまり気にする必要はないかもしれないです。
少なくとも指紋認証は利便性を高めますが、単体ではセキュリティが強固にならない事を
頭の片隅にでも入れておくぐらいでいいかなと思います。
スポンサーリンク 今回のアップデートでなんと指紋センサー「Touch ID」が搭載し、
指紋認証でロック解除やiTunes Storeで楽曲等の購入ができるそうです。おおすげぇ。
しかしこれはどうなんでしょう?
スマフォに指紋センサーって必ずしもとても良いとは限らないと思うんです。
iPhone 5sの指紋認証機能「Touch ID」、未来的なイメージの裏にある課題
恐らく指紋認証の大規模な普及に懐疑的な人は大きく2つの心配をしている気がします。
| ・指紋データが他の個人情報と紐付けられ管理される ・指紋だけで認証出来るサービスが増加しセキュリティの低下 |
「指紋データ=変更できないパスワード」の盗難
最初の項目は割りと馬鹿げた陰謀論的な感じですが、知らないうちに利用されてしまう不安です。
ただ、
| ・iPhone5sに指紋情報をアップルのサーバやiCloudにバックアップされることはない ・すべての指紋情報は暗号化されて、新しいA7チップのSecure Enclave iPhone 5sに搭載された指紋認証センサーとカメラ、iPhone 5c公式ムービー - GIGAZINE |
しかしウイルスが仕掛けられているページやアプリをインスト―ルした場合はまた別の話でしょう。
上にあるよう指紋データは暗号化されるので仮に漏洩しても安心ですが、
常駐型のウイルスに乗っ取られて通常のシステムより先にスキャン情報を取得されたら?
人気機種で指紋認証対応なのはiPhone5sぐらいでしょうが、
Xperia、GALAXY、NexusなどAndroid機種でも導入されれば、
iPhoneだけの問題ではなくなってくると思います。
AppstoreやGooglePlayは登録アプリのチェックを行っていますが、
やはり100%安全とは言い切れなさそうです。
アップル「App Store」に初のマルウェア « WIRED.jp
Google Playでの検査をすり抜ける、自己更新型アプリに注意
指紋認証が一般的に普及すれば様々なサービスで使われると思いますが、安易に使うのは考えものです。
先の2ちゃんねる個人情報流出事件では、パスワードを平文でテキスト保存していたと聞きます。
サービスによっては暗号化されずに、ほかの個人情報と紐付けられて流出する可能性もあります。
指紋は変更不可ですから一度漏洩すれば指紋認証のセキュリティレベルは落ちることになるでしょう。
指紋認証だけで本当に安全?
次に2つ目のセキュリティの低下です。こちらの方が現実味がある気がします。
まず、指紋認証のメリットはなくさない、利便性が高いなどがありますが、
通常のパスワードよりも強固なセキュリティとは言えないです。
| 1.トライアル・アンド・エラー攻撃 | 登録情報に入力情報が近ければ認証される |
| 2.デジタル・スプーフィング | ネットワーク上を流れるパスワード情報を盗聴 |
| 3.物理的スプーフィング | 指紋を模造して認証を突破する |
1.は指紋認証がパスワードと違って完全一致で認証されないところを突いた攻撃
2.ネット上にある指紋データを使用され、なりすます攻撃。上で書いた心配事がこれになるでしょうか。
3.は物理的に相手の指紋を採取して、模造したものでなりすます攻撃。
指紋は採取は割りと簡単に出来るようで、検出方法の1つにシアノ法があります。
一言で言うとアロンアルファなど瞬間接着剤をガス化したものを指紋に吹き付けると、
指紋に含まれる水分と結合し白く硬化するという感じです。
指紋検出シアノ法|法科学鑑定研究所
☆指紋の検出☆
本当にセキュリティが突破出来るのかわかりませんが、フェイク指紋の作り方
6つのステップとイラストでわかるフェイク指紋の作成方法 - GIGAZINE
追記:どうやら上の模造指紋で突破が可能なようです。
iPhone 5sの指紋認証「TouchID」を突破する方法が判明 - GIGAZINE
ソーシャル・エンジニアリングとの連携
指紋認証が大規模な普及となればソーシャル・エンジニアリングし易くなると思います。
ソーシャル・エンジニアリングは簡単に言えば、コンピュータやウイルスを用いない、
人間の隙やミスを突いて欲しい情報を聞き出す手法です。
@IT:ミトニック氏が教えるセキュリティ対策法
広く普及すれば周りの人間、特にスマフォを持ってる人の親指には鍵が付いている事と同じですから、
脳の中にあって見えない普通のパスワードより脆い気がします。
例えて言うなら、手にパスワードの刺青をしてる状態に近いでしょうか?
例えば、指紋の欲しい相手に自分のスマフォを渡して、親指をタップするゲームでもやらせれば、
結構簡単に取得出来てしまうのでは無いでしょうか。
指紋認証が様々なサービスで普及したら
今後もしかするとGoogle、Amazon、Facebook、twitterなどのアカウント認証に
指紋認証が採用されるかもしれません。
そうなるとデジタル・物理スプーフィングで得た指紋情報の利用方法が広がり、
相手の端末を入手せずとも、ネットから不正アクセスが可能になるかもしれません。
Appleが指紋認証で狙うもの - WirelessWire News
利便性を優先して指紋認証のみと言うのがよくないと思うのです。
指紋認証がパスワードよりも安全と思い込んで指紋認証だけのユーザーが増えると、
指紋認証だけでログインできるサービスが出てきそうです。
対策はどうするか
使うのならパスワードを組み合わせて2重セキュリティで使うのが最善だと思います。
最初にパスワード・パターン認証の後に指紋認証を行う。
順番が逆だと模造指紋が実際に使えるか試せてしまうのであまり良くないです。
まぁそもそもスマートフォン・Web全体で普及すればの話なので、
大して普及しないならあまり気にする必要はないかもしれないです。
少なくとも指紋認証は利便性を高めますが、単体ではセキュリティが強固にならない事を
頭の片隅にでも入れておくぐらいでいいかなと思います。
| スマートフォン | 17:38 | comments:0 | trackbacks:0 | TOP↑
