Lenovo、Asus、東芝のノートPC顔認証テクノロジー、突破される 30
ストーリー by mtakahas
双子だとどうなるのかしら? 部門より
双子だとどうなるのかしら? 部門より
capra 曰く、
本家/.より。ベトナムの研究チームが、一部のノートPCに搭載されている顔認証テクノロジーを突破することに成功したそうだ。研究者らは、顔認証ログイン機能を搭載したノートPCのカメラに認証されたユーザーの写真を提示。Lenovoの「VeriFace III」、ASUSの「SmartLogon V1.0.0005」、東芝の「Face Recognition 2.0.2.32」、すべての突破に成功したとのこと。また、ユーザーの写真を使わずに、偽造した顔画像でも突破可能だったという。どちらもパスワードでいうところの「総あたり攻撃」を行ったそうだが、デジタル加工した写真でも認証が可能な点が一番の脆弱性であると指摘している。
なお、この結果は、現在米ワシントンDCで行われているBlack Hat DCにて発表されるそうだ。たばこ自販機の顔認証も、当初、雑誌の写真で突破されていた。ノートPCも生体認証を組み合わせたものが主流になっていくのだろうか。
生体認証に関しては、過去、ゼラチンで指紋認証を突破したり(現在では改良されている模様)、静脈認証が大根でも行えたりするという指摘がありました。
どうせなら (スコア:4, おもしろおかしい)
スリムな頃の姿を登録しとけばダイエットのモチベーションを保てるかも。
これは「外人の顔はみな同じに見える」現象ですよ (スコア:4, おもしろおかしい)
現地で、ベトナム人にローカライズしてもらえば、
きっと識別できるに決まってるじゃないですか
Re:そもそも全部機械でやらなければいけない必然性は無い (スコア:0)
そこで、自宅警備員認証 [srad.jp]ですよ。
その場では認証通過させるんだけど、同時に定性的な判断で「怪しい?」
というアラートを出せるのは自宅警備員認証ならでは。
しかも、雇用創出にもつながり一石二鳥ですな。
捏造ってこうやって生成されるのね (スコア:2, すばらしい洞察)
そんな前例ないし、リンク先も突破したという話ではない。
大根は (スコア:2, 興味深い)
大根は、指のかわりに登録できるという話だったはず。
登録できるからそれをつかえば鍵は開く。
残念ながら人間の静脈と同じ形状に大根がなる確率は非常に少ない。
正規に登録された人間の指の静脈パターンに合致する大根を栽培できるようになるまでは、
大根で静脈認証を突破したとは言えまい。
Re:大根は (スコア:1, おもしろおかしい)
その登録した大根を保存するほうが難しいよな。
Re:大根は (スコア:1, おもしろおかしい)
Re:捏造ってこうやって生成されるのね (スコア:1, おもしろおかしい)
俺もう指静脈認証する指残って無いよという人が居たな
話を聞いてみると、データ全国で共有してんのに反映されるまでの
タイムラグより早いペースで全国行脚するハメになって入場できないから
仕方なしに行った先々で登録していったとのこと
どうも後から到着するデータと被ると面倒だから別の指で登録し続けたらしい
その時にじゃあチンチンで登録すれば?
という冗談が出たけど、通常時と大きくなった時の違いで困るんじゃないかと
かふと考えた自分に呆れた
Re:捏造ってこうやって生成されるのね (スコア:1)
てことで、本当に遅ればせながらですが修正いたします。ご指摘ありがとうございました。
対策済み (スコア:2, 参考になる)
ゼラチンの奴は真皮層の指紋を読み取るということで対策済み。
大根による指静脈のなりすまし認証も対策がなされたというのを世界一受けたい授業で証明した横浜国立大の松本勉教授本人がおっしゃってましたよ。
Re: (スコア:0)
Re:対策済み (スコア:1)
その前に一般客が銀行でどれほど静脈認証使ってることかw
ソフトなら出た後でもなんとか改修できるけど、ハードは金掛かるんだろうなぁ・・・
Re: (スコア:0)
私は使ってますが、おそらく少数派なんでしょうね。
しかも振り込め詐欺の場合は、自分で意志で認証するので結局は無意味だという落ち。
Re:対策済み (スコア:1, すばらしい洞察)
一方、ロシア人は (スコア:2)
認証方法を1つだけにする必要はなく (スコア:2)
マスターキーならぬマスターフェイス (スコア:1, おもしろおかしい)
Re:マスターキーならぬマスターフェイス (スコア:3, おもしろおかしい)
樹木希林風にいうなら、「美しい人は美しく、そうでない人はそれなりに」機能する顔認証ですね。
Re:マスターキーならぬマスターフェイス (スコア:1, おもしろおかしい)
Re: (スコア:0)
そりゃあもちろん (スコア:1)
>双子だとどうなるのかしら?部門より。
2時間ドラマのアリバイトリックに使われるでしょう。
未来から来た殺人兵器だって騙せます (スコア:0)
脆弱性ではないと思う (スコア:1, すばらしい洞察)
顔認証は、他人を認証させないための技術ではなくて、自身が楽をするための技術じゃないの?
パスワード入力代行機構とでも言うべき
仕組みからして容易に突破出来る事はほぼ明白なので、強固な認証として顔認証を採用するような人は居ないと信じたいし
(もしセキュリティ専門家で居たら、指を刺して笑ってやれ)
突破出来たと、鬼の首を取ったように発表する物でもない。
「一応やったけど、そりゃ当然出来ますよね」って程度の扱いで良いと思うんだけど
まぁ、メーカーを擁護するつもりは無いけどね。売り方(謳い文句)が悪いのも確かだろうし
でもね、そろそろ「PCを使えるようにする為のプロセス」と「何かを保護するための機構」は別だって認識したり
すべてのPCに強固な保護が必要というわけではないって考えが一般的になっても良いと思うよ
# って、それ以前に認証の必要性が一般的に認識されてないか...
顔認証のエンジンいじってるけど (スコア:1, 参考になる)
防ぐには
・指紋認証などと組み合わせる
・トラッキングして認証する
あたりでしょうか
カメラの前の画面に斜め右上を見てくださいとかでトラッキングして認証すれば
単純に写真をかざしただけでってことにはならない気がします
コピーは簡単? (スコア:0)
最近では携帯電話にも採用されているけど、公園でPC操作している人の顔を遠くから撮影して
それを加工すればなんとかなるんじゃないの、、とか、みてて思ってた。
もちろんその辺の対策をしてたから今まで破られなかったのだろうけど、合鍵の素は指紋を
採取するより簡単なんじゃないの?
さっそく (スコア:0)
部門名 (スコア:0)
パターン認識を厳密にすると (スコア:0)
本人でも認証が効かなくなるから、有る程度は仕方無い。
ってかさ、元々外見(指紋なんかも含めて人間が有る程度外に出していてセンサーで読める、静脈なんかも面倒なだけだな)での認証なんてのは、パスワードの替わりになるもんではなく、どっちかって言うとIDに長ったらしく入力が面倒な文字を使うって事の延長線で使うもんだし。
立体で見ればいいんじゃね? (スコア:0)
カメラ2つあればとりあえず、写真は見破れるんじゃね。
それぞれに視差を意識した写真を貼り付けられると駄目かな。
距離も含めて登録しておく。
あとは赤外線で体温測るとか。
Re: (スコア:0)