生体認証の本質的な欠点と解決策：破られた二要素認証【後編】

2FAや生体認証はパスワード認証よりも堅牢だが、実は多くの場合「本人認証ではない」という欠点を抱えている。これを解決して真に安全な認証を行う方法を紹介する。

[Peter Ray Allison，Computer Weekly]

iStock.com/metamorworks

　前編（Computer Weekly日本語版　6月3日号掲載）では、2FAや生体認証が必ずしもパスワード認証の欠点を解決するほど堅牢（けんろう）ではないこと、回避する手段が存在することを解説した。

　後編では、2FAや生体認証を回避する手段への対抗策を紹介する。

　生体認証を欺く手段への対抗策として、生体認証リーダーに組み込むスプーフィング対策システムの開発が進められている。Face IDは顔の輪郭を読み取れるようになった。「以前は生体認証を欺くのは非常に簡単だった。現在の生体認証の重要なポイントはスプーフィング対策であり、それが次々と登場している」とハーディング氏は述べる。

　虹彩認識はスプーフィング攻撃への耐性が本質的に強く、安全性が高い生体認証方法の一つだ。眼球スキャンを回避する手口の有名な例は、1993年の映画『Demolition Man』（邦題『デモリションマン』）で描かれている。ウェズリー・スナイプス演じるサイモン・フェニックスが、警備員の眼球を抜き取って虹彩によるロックを解除するという手口だ。眼球は非常に繊細ですぐにつぶれてしまうため、この恐ろしい手口がうまくいく可能性は現実的にはほとんどない。

　とはいうものの、生体認証には大きな問題がある。その一つは、生体認証を使った本人確認をするのは一般的に端末であり、一元的なデータベースではないことだ。さらに、スマートデバイスは生体認証を使った端末のロック解除を複数ユーザーに許可する場合が多い。そのような状況で端末が確認しているのは、身体的／行動的特徴がその端末の使用を許可されているユーザーのものかどうかだ。必ずしも本人確認が必要な人物自身であることを確認しているわけではない。

　「『Touch ID』も、決してユーザーを認証するわけではない。端末に登録してある指紋と照合するだけだ。こう断言できるのは経験があるからだ。

続きを読むには、［続きを読む］ボタンを押して
ください（PDFをダウンロードします）。

関連記事

Windows 10の次期バージョンでパスワードレスサインインが実現

十分に進化した生体認証は“手に埋め込んだチップ”すら不要

2FAバイパスツールがもたらした二要素認証安全神話の終焉

「人の声がその答えだ」──パスワード認証に代わる音声生体認証

RPAに組み込むべきセキュリティ対策

パスワードのない世界の条件は「FIDO＋アルファ」