パスワードを忘れた? アカウント作成
13806789 story
テクノロジー

ミツロウ製のダミーで静脈認証を突破 16

ストーリー by hylom
簡単ではないのか 部門より
headless曰く、

Chaos Computer Club(CCC)のJan Krissler(starbug)氏とJulian Albrecht氏が12月27日、ミツロウ製のダミーで静脈認証を突破したことをCCCのイベントChaos Communication Congressで発表した(発表スライド: PDF動画HackReadMotherboard)。

starbug氏はiPhone 5sのTouchIDを発売直後に突破し、Galaxy S8の虹彩認証も突破したいるほか、ドイツ国防大臣の写真から指紋を複製したこともスラドで話題になった。今回の静脈認証突破では、手または指のダミーを手の甲側と手のひら側に分割してミツロウで作成し、レーザープリンターで印刷した静脈パターンをはさみ込んだものを使用する。静脈パターンの作成には赤外線フィルターを外したデジタル一眼レフカメラを用い、手のひらまたは指先の写真を撮影して画像調整したものを使用している。

これだけ書くと簡単そうだが、2人はさまざまなカメラを試し、2,500枚の写真を撮影したそうだ。写真は好条件で撮影しているため、通りすがりに撮影したような写真で静脈認証を突破するのは難しいとのこと。ダミーの素材についても、試行錯誤の末にミツロウにたどり着いたようだ。作業量としては1か月ぐらいでできる内容だが、余暇を利用して進めたため、完成までに半年かかったとのこと。

なお、ステージ上では手のひら静脈認証を何度試してもダミーが認証されず、照明を薄暗くしてもうまくいかなかった。そのため、机の下で試行してようやく認証されている。一方、指静脈認証は一発で成功しているが、残念なことに動画ではその場面が写っていない。

  • by hakikuma (47737) on 2019年01月03日 16時00分 (#3542941)
    ダミだこりゃ
    ここに返信
  • ターゲットを絞れば、突破する方法を考えるのは時間の問題という事ですね。

    本当の機密は、複数組合せが当然。
    それ以下は、99.n% でしか防御出来ないと割り切るべし、、と

    ここに返信
    • by Anonymous Coward

      ごにんしきしたっていいじゃないか

      きかいだもの

      みつろう

    • by Anonymous Coward

      生体情報を鍵として使ってる時点で認証としては致命的な欠陥を抱えているから、
      いくら組み合わせたところで生体認証が安全な認証として機能することは無いかと。

      外部に晒しっぱなしで、全サイト全システムで共通で、変更不可能な、「鍵」。
      セキュリティ的には論外としか言えないでしょ。

      利用者身体に物理的に付属しているから手軽に使えるだけ。簡単ログインと同じ。
      簡単ログインはきっちり実装して端末や回線に一定の対タンパ性が期待できるならある程度は機能していたけど、
      それを生体認証に置き換えれば「認証場面で利用者に対して対タンパ性を期待出来なければならない」となる。
      具体的にはシールや疑似指やロボット等の偽装デバイスの排除や手術痕の検証等を毎回高精度で実施する必要がある。
      そこまでいってもようやく簡単ログインと同等止まり。
      結局、センサが安くなって手頃に検証できるようになったら簡単ログインよりも安全性の低い簡易な鍵として使える程度の物。

  • by maruto! (18665) on 2019年01月03日 15時41分 (#3542933) 日記

    指紋認証も静脈認証も血流を検出できないとダメなのかな?
    近赤外線なら脈動を検出できるはずだし。

    ここに返信
  • by Anonymous Coward on 2019年01月03日 16時08分 (#3542944)

    カタカナで書かれたので一瞬人名かブランド名かと思った。

    ここに返信
    • by Anonymous Coward

      ミツロウ=蜜蝋なのね
      ミツロウ製と書いてあるから
      何か精巧な人体モデルのメーカーかと思って
      検索しまくってしまった

      蜜蝋ぐらい書けなくても読めるだろ
      何故カタカナ表記なんだよ・・・・

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...