2020年06月18日 08時00分 公開
特集/連載

生体認証の本質的な欠点と解決策破られた二要素認証【後編】

2FAや生体認証はパスワード認証よりも堅牢だが、実は多くの場合「本人認証ではない」という欠点を抱えている。これを解決して真に安全な認証を行う方法を紹介する。

[Peter Ray Allison,Computer Weekly]
iStock.com/metamorworks

 前編(Computer Weekly日本語版 6月3日号掲載)では、2FAや生体認証が必ずしもパスワード認証の欠点を解決するほど堅牢(けんろう)ではないこと、回避する手段が存在することを解説した。

 後編では、2FAや生体認証を回避する手段への対抗策を紹介する。

 生体認証を欺く手段への対抗策として、生体認証リーダーに組み込むスプーフィング対策システムの開発が進められている。Face IDは顔の輪郭を読み取れるようになった。「以前は生体認証を欺くのは非常に簡単だった。現在の生体認証の重要なポイントはスプーフィング対策であり、それが次々と登場している」とハーディング氏は述べる。

 虹彩認識はスプーフィング攻撃への耐性が本質的に強く、安全性が高い生体認証方法の一つだ。眼球スキャンを回避する手口の有名な例は、1993年の映画『Demolition Man』(邦題『デモリションマン』)で描かれている。ウェズリー・スナイプス演じるサイモン・フェニックスが、警備員の眼球を抜き取って虹彩によるロックを解除するという手口だ。眼球は非常に繊細ですぐにつぶれてしまうため、この恐ろしい手口がうまくいく可能性は現実的にはほとんどない。

 とはいうものの、生体認証には大きな問題がある。その一つは、生体認証を使った本人確認をするのは一般的に端末であり、一元的なデータベースではないことだ。さらに、スマートデバイスは生体認証を使った端末のロック解除を複数ユーザーに許可する場合が多い。そのような状況で端末が確認しているのは、身体的/行動的特徴がその端末の使用を許可されているユーザーのものかどうかだ。必ずしも本人確認が必要な人物自身であることを確認しているわけではない。

 「『Touch ID』も、決してユーザーを認証するわけではない。端末に登録してある指紋と照合するだけだ。こう断言できるのは経験があるからだ。




続きを読むには、[続きを読む]ボタンを押して
ください(PDFをダウンロードします)。






ITmedia マーケティング新着記事

news045.jpg

「ファッションテック」から「3密回避」まで データによる価値創造と課題解決の考え方
気象データを活用してファッションコーデを提案するサービスをデジタルエージェンシーの...

news153.jpg

脳波計測で判明 Twitterを使いながら番組を見る人は満足度が高い――Twitter Japan調査
脳波を活用した感性把握技術を活用して「テレビとTwitter」の関係について分析しています。

news058.jpg

旅行業界のデジタルシフトと「Go To トラベル」後の課題 びゅうトラベルサービスに聞く
列車旅の拡大活性化を目指してデジタルシフトを進めるJR東日本グループの旅行会社びゅう...