パスワードを忘れた? アカウント作成
21531269 story
ソフトウェア

スマホの指紋センサーから指紋情報を抜き、復元する攻撃 25

ストーリー by nagazou
攻撃 部門より

香港城市大学と米ジョージ・メイソン大学に所属する研究者らは、スマートフォンのディスプレイ内指紋センサーから指紋データを盗み出し、3Dプリンタで偽の指紋を作成する攻撃方法を発表したそうだ(ITmedia)。

この攻撃では、盗んだ指紋データをもとに3Dプリンタで造形した偽の指紋を指に貼り付け、その偽の指紋を使って生体認証を騙ることが可能だという。研究ではユーザーがディスプレイ内指紋センサーを押す際に放出される電磁波を専用装置で検出、それをもとに3D指紋ピースを作成したという。

この攻撃は被害者の指紋情報を事前に知らなくても実行可能で、ハードウェアやソフトウェアを侵害する必要もなく、高価な装置も不要。かつ異なる種類のスマートフォンでこの攻撃が実行可能であり、指紋画像を50.3%から75.0%の範囲で復元する能力が示されたとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年12月16日 17時28分 (#4580600)

    生体認証は認証として不適切だから仕方ないね。
    野ざらしで誰でも読める情報を鍵にするべきじゃない。
    複製キーが作られた事が判明しても鍵が変更できないとかどうしようもない。
    # 生体認証必須のシステムと複製キーを作られてしまった経験のある人間が居たとき、
    # 運用ルール的にどうなるんだろうね。複製キーが存在して保護能力ゼロのまま運用?
    # もしくは利用権の剥奪?社会上必須のシステムとかでそれされたら楽しい楽しいディストピアだね!

    「僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。」 [takagi-hiromitsu.jp]
    変な情報をセキュリティに使うんじゃねーよ全くもう…………

    • by Anonymous Coward

      複製キーが作られた事が判明しても鍵が変更できないとかどうしようもない。

      指に残る傷をつければ変えられる

      # リアルに身を削る必要がある糞仕様だよねぇ

    • by Anonymous Coward

      「野ざらしで誰でも読める情報を鍵にするべきじゃない。」「変な情報をセキュリティに使うんじゃねーよ全くもう」って・・・
      やっぱアレを登録してつかうんでしょうか・・・やだはずかしい(ポッ

    • by Anonymous Coward

      企業オフィスはともかく個人宅のセキュリティであれば、ピッキングや物理破壊を上回る(手間がかかる)強固さを担保してればいいだけなんで、
      今回の手法がめっちゃお手軽簡単にできない限りは関係無いでしょう。

  • by Anonymous Coward on 2023年12月16日 23時50分 (#4580713)

    スマートフォンの使用頻度で毎回PIN入れる手間を考えればかなり有用な手段。
    ただ生体情報って割と容易に盗める印象がある(血の通った指じゃないと通らない指紋認証や、注視を求める顔認証もあるけど)
    だから手元に置けない端末には導入しちゃいけないし、寝る時なんかは一時的に無効にしておくのが正解じゃないかな?と思う。
    Androidならロックダウン、iPhoneなら電源+音量上長押しで無効にできる。

  • by Anonymous Coward on 2023年12月16日 7時35分 (#4580381)

    昔は入室に指紋登録して認証するのがそこそこあったけどいつの間にかほとんど無くなってますね
    なんでやろ?

    • by Anonymous Coward on 2023年12月16日 11時53分 (#4580493)
      あれ、冬場に乾燥してカサカサで上手く認識できないとか、夏場は汗で上手く認識できないとか認証に時間食うんですよ。
      冬場の対策用のクリームが置いてあったりするんですが、指紋の認証面がそいつでベタベタになっていたりとか。
      親コメント
    • by Anonymous Coward

      手首の切り取り被害が増えるから

    • なんでかは知らんが、

      指紋だと認識できない人が多くて、カードキーも併用したりする必用があるから。
      「それだったらカードキー オンリーでいいじゃん」ってなりそうな気が。

      セキュリティ的にも指紋はコピーが盗られるリスクの高い方だから、重要施設の
      鍵には使えない。それに不特定多数の認識も苦手だよね。

      スマホみたいに個人用で、利便性重視の用途の方が相性がよさそう。
      重要エリアの入室用にはイマイチ。

      • by Anonymous Coward

        カードキーはコピーは取りにくいかもだが盗まれるリスクは高いし、何より人に貸したり借りたりが簡単かつ普通に行われてたり…。まぁそこがいいのかw

        • by Anonymous Coward on 2023年12月16日 14時25分 (#4580545)

          盗難や紛失は就業規則でカバーするくらいかな。貸し借りも同様。
          紛失時は即座に報告して無効化。報告が遅れたら処罰の対象。

          指紋の方は普段からそこら中に跡を残しているせいで盗まれたことを
          検出しにくいし、無効化しても新しい指紋に切り替えできないのは
          デメリットかな。

          それとカードキーを社員証やタイムカードも兼ねることで、貸し借りを
          難しくしてる例は多いようだ。そのキーで入室することで、はじめて
          出社扱いになる。

          親コメント
    • by Anonymous Coward

      個人情報だからじゃない?

    • by Anonymous Coward

      指紋認証の入退室管理なんて経験したことないな。

    • by Anonymous Coward

      銀行の指紋認証ATMも終了したところがありますよ。

    • by Anonymous Coward

      意外と読めなくて面倒くさい上にセキュリティ的にはガバガバだからなぁ……
      隠せない、共通、交換不能って、鍵として終わってる

  • by Anonymous Coward on 2023年12月16日 9時12分 (#4580419)

    電磁波は届く距離なら出来るってことか
    ということはスマホじゃなくても出来そうだね
    ただ電磁波の届く範囲に近付く必要があるけど
    そんな近くに専用装置があったら疑われるわなw

    小型化されてわかりにくいように設置できるようになったら
    指紋認証装置の近くに貼り付けて、というのが出来そうだね

    • by Anonymous Coward

      指紋認証が必要になる場所に、いかにも「スマホ操作はこのテーブルでどうぞ」と言わんばかりの読み取り装置内蔵(ついでにワイヤレス充電パッドとかUSB給電口とかがあるとカンペキ)テーブルを置いとくだけでかなり確率上げられそう。

      • by Anonymous Coward

        ついでにガラスコップに水をいれて提供すれば、指紋そのものを採取できそう。

        # それを防ぐために足の指で指紋認証を……

    • by Anonymous Coward

      実際どのくらいの大きさか
      あまり高価ではないらしいですし(安いとは言っていない

  • by Anonymous Coward on 2023年12月16日 10時33分 (#4580455)

    えーと、陰謀論を唱える方々が出てきそうな大学名ですね…。
    #私、気になります!

    ともあれ、指紋認証を含め、生体認証は消え去るべきかと…。
    指の持ち去り事件は元より、静脈認証や虹彩認証についても、突破の糸口があったり…。

    #あまり、人間その物を鍵とするやり方は、利口とは言えません。
    #にわかな奴ほど語りたがる -- あるハッカー

    • by Anonymous Coward

      スマホのロックには指紋や顔認証が最適だと思う。
      パスワードでも本気で保護しようとするなら覗き見防止のために人前で解除できなくなるし。
      スマホなんて突破されても被害はたかが知れてるから。

      # なので、定期的にパスワード再入力を求めるのはやめてほしい。

      • by Anonymous Coward

        もう財布よりスマホの方が被害でかいのだが

  • by Anonymous Coward on 2023年12月17日 1時16分 (#4580728)

    そもそもノイズにあふれた環境で実現可能な攻撃なの?

    • by Anonymous Coward

      モバイルバッテリーに仕込めるらしいから、善意の充電器を装うなり、テーブルに埋め込むなりすれば割と現実的な気がする。
      不用意に机の上に置くなってことだな。

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...