ノートパソコンの顔認証を写真で突破、研究者が実証

バイオメトリクスを使ったセキュリティ技術では、指紋や顔など、ユーザー固有の「鍵」によって安全を提供する。ところが、こうした生体認証鍵を破るのは、思ったほど難しくないことが明らかになった。

要は鍵を複製すればいいわけだ。

といっても、複製するのにクローン技術や臓器摘出は必要ない。研究者の Duc Nguyen 氏は、ワシントン DC で開催されたセキュリティ カンファレンス『Black Hat DC 2009』のプレゼンテーションで、1枚の写真さえあれば、ASUSTeK Computer (ASUS) や Lenovo、東芝のノートパソコンが採用する顔認証技術を突破できることを実証してみせた。

企業やハードウェア ベンダーは、単純なパスワードとは別の技術を用いて安全なログイン情報を提供する方法を模索している。その点、バイオメトリクスはより安全で便利な技術とみなされることが多い。同技術を用いた鍵は、第三者による取得や偽造が難しいとされているためだ。また、ユーザーの多くは自分が忘れないよう、パスワードを非常に単純なものにするため、パスワードに依存しないこともバイオメトリクスの利点の1つだ。

しかし、今回の Nguyen 氏の実証によって、現行の顔認証技術の安全性に疑問符がつく可能性が出てきた。

「3社のノートパソコンが搭載する顔認証技術は、いずれも写真1枚で突破できる。私自身いまだに信じられないが」と Nguyen 氏はプレゼンテーションで語った。

ASUS、Lenovo、東芝はそれぞれ独自のアルゴリズムを持っているが、バイオメトリクスを使ってログインを行なう基本的な仕組みは、3社とも同じだ。いずれも、ノートパソコンの前にいるユーザーの顔を内蔵の Web カメラがスキャンし、その後の認証に使用する画像を作成する。

Lenovo の技術は『VeriFace』、ASUS の技術は『Smart Logon』、東芝の技術は単純に『Face Recognition』と呼ばれている。だが、名称やアプローチは違っても、3社の技術にはいずれも欠陥があり、攻撃者によるアクセスを可能にするおそれがあると Nguyen 氏は指摘している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール