Windows Hello の顔認証機能、写真で突破可能

2018.01.12

「あなたがパスワードです (You are the password)」というのは、Microsoft が 2015 年に Windows 10 Hello の顔認証(リンク先:英語)システムを発表した際のマーケティングスローガンです。


しかし、ドイツのセキュリティ企業 SySS 社の研究チームによると、より正確な表現は「あなたがパスワードであり、あなたの写真もパスワードです」となるようです。


この SySS のチームは、登録ユーザーの印刷された赤外線 (IR) 写真を見せるだけで、Windows 10 の複数のバージョンで Hello をバイパスできる(リンク先:英語)ことを発見しました。


PoC (概念実証) デモ(リンク先:英語)では、明るさとコントラストを調整後、カラーレーザープリンターで 340 x 340 で印刷した写真を、LilBit USB 近赤外線カメラが接続された Dell Latitude にかざすだけでバイパスに成功しています。

実際に特定の Window PC がどの程度脆弱であるかは、次の 3 つの変数の組み合わせで決まります。


  1. ・使用されている Windows 10 のバージョン
  2. ・Hello の拡張スプーフィング対策が有効になっているかどうか
  3. ・IR カメラが拡張スプーフィング対策機能に対応しているかどうか

研究チームはまた、突破を試みた設定に応じて、色や高い解像度を使用して画像を微調整する必要がありました。


この攻撃は、Hello の拡張スプーフィング対策機能が有効になっていない Windows のすべてのバージョンに対して効果があると報告されています (手動で有効にする必要があるこの機能は、IR カメラがこの機能に対応している場合にのみ有効にすることができます)。


つまり、写真による顔認証突破を防止するには、Windows 10 の最新バージョン (1709、または4 月リリースの 1703 以降) を使用し、拡張スプーフィング対策機能をサポートしている PC またはカメラを使用し、この機能が最新のアップグレード後にリセットされ、現在有効になっていることを確認する必要があります。


これらの要件を満たすシステムは、Microsoft の Surface Pro 4 Laptop です。ただし、このシステムも、Windows 10 Fall Creators Update (1709) を実行していることと、ユーザーが Windows Hello に再登録済みであることが条件となります。


詳細については、こちらのアドバイザリで解説されています(リンク先:英語)。ただし、SySS がテストしていないハードウェアもあるため、エンドユーザーが自分のカメラが拡張スプーフィング対策に対応しているかどうかを確認する方法は明らかにされていません。


実際のところ、登録ユーザーの顔を正面から撮影する必要があるため、今回の脆弱性の影響は比較的小さいものと思われます。しかし、「生体認証セキュリティシステムが謳う機能を額面通り受け取ってはいけない」ということを私たちは肝に銘じておく必要があります。


少なくとも、顔認証の問題に悩まされている大企業は Microsoft だけではありません。たとえば昨年 11 月、別のペネトレーションテスト会社が彩色したマスクを使って、Apple iPhone X の Face ID を突破することに成功しています。


顔の生体認証がいつの日にか非常に安全で信頼性の高い認証方法になることを期待して止みません。しかし現時点では、Hello や Face ID など大手企業が導入する機能に対しては厳しい目が注がれており、ソフトウェア企業も依然として問題の解決や機能の改善に取り組んでいるところです。


本当にユーザーの顔をパスワードにするのならば、他のパスワードと同様に、2 要素認証の一方として使用されるべきです。

引用元

おすすめの記事はこちら