中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング | ScanNetSecurity
2020.08.09(日)

中国テンセント社 セキュリティ研究所、iPhone の顔認証 Face ID をハッキング

2019 年の Blackhat USA では、中国のテンセント社の技術者が、安価な方法で FaceID を突破する方法を紹介した。

研修・セミナー・カンファレンス セミナー・イベント
テンセントセキュリティの玄武ラボ研究員  C Ma氏
テンセントセキュリティの玄武ラボ研究員 C Ma氏 全 7 枚 拡大写真
 パスワード認証方式の限界が各方面から聞こえてくる。もはや人力では管理しきれないパスワードが、リスト型攻撃など現在のメジャーな攻撃の温床となっているからだ。変わってデバイス認証、とくに指紋や顔などの生体情報を使った認証が注目されている。

 アップルは Touch ID をいち早く iPhone に実装、2 年前からは Face ID という顔認証技術を導入し、この分野では先行している。Android 端末も Galaxy などハイエンドモデルでも顔認証に対応してきている。数多の中華端末でも、採用技術の違いはあれ顔認証でロック解除できるものも珍しくない。もちろん生体認証も万能ではないので、パスワードを廃止出来るかどうかは微妙だ( FIDO II のような認証方法もあるが)が、2 段階認証に生体認証を用いるなどの対策が進んでいる。

 このうち、顔認証の多くは、カメラ画像の画像認識処理によって認証を行う。しかし、安い端末や古い機種の顔認証は高精度の写真でアンロックできたり、寝顔(目を閉じていても OK )でアンロックできたり、セキュリティの強化というよりギミックの要素が強いのも事実だ。この点、Face ID は、赤外線センサーとカメラを利用し、2 次元の写真と実物を区別し、メガネやサングラスをしていても正しくできるほど高性能だ。写真や寝顔では認証突破できず、安全性も高いとされている。

 過去の挑戦では、ハリウッド映画の特殊メイクレベルのマスクで突破された事例が報告されているくらいだった。マスクを製作するには、ターゲットの高精度な立体モデルデータ( Face ID のセンサーと同等以上の解像度)が必要で、当然ターゲットごとに手作りとなる。しかし、2019 年の Blackhat USA では、テンセントの技術者がもっと安価な方法で Face ID を突破する方法を紹介した。

 このハッキングを行ったのはテンセントセキュリティの玄武ラボ研究員 Yu Chen 氏、Bin Ma 氏、HC Ma 氏の 3 名。普段はもちろんセキュリティ技術の研究開発を行っており、生体認証技術もその対象だ。

 生体認証はまず、認証の鍵となる生体情報を収集し、それを加工処理する。この特徴データを認証すべきセンシングデータと比較するわけだが、Face ID など高度な生体認証技術は、ここに対象データが本当に生体から得られたものかを判断する生体検知( Liveness Detection )のフェーズが入る。彼らが今回チャレンジしたのはこの生体検知をフェイクによってどうすり抜けるかというものだ。
  1. 1
  2. 2
  3. 続きを読む

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  2. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  3. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  4. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  5. 「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹)

    「三越伊勢丹オンラインストア」「エムアイカード ホームページ」にパスワードリスト型攻撃(三越伊勢丹)

  6. 国産Linux OS、最新の暗号へ対応しセキュリティ強化(サイバートラスト)

    国産Linux OS、最新の暗号へ対応しセキュリティ強化(サイバートラスト)

  7. 令和2年版 情報通信白書、「5G時代のサイバーセキュリティ」に言及(総務省)

    令和2年版 情報通信白書、「5G時代のサイバーセキュリティ」に言及(総務省)

  8. 複数のトレンドマイクロ製品のルートキット対策ドライバに入力値検証不備の脆弱性(トレンドマイクロ、JVN)

    複数のトレンドマイクロ製品のルートキット対策ドライバに入力値検証不備の脆弱性(トレンドマイクロ、JVN)

  9. 不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

    不正なログインによりパスワードを無効化したとするAmazon偽メール(フィッシング対策協議会)

  10. COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

    COVID-19脅威レポートを発表、クラウドサービスを標的とした外部脅威が630%増加(マカフィー)

ランキングをもっと見る