生体認証のハッキングが証明する MFA の重要性
指紋認証や Apple の Face ID といった生体認証によるログイン方法が、この数年でスマートフォンやアプリケーションに採用されるようになりました。しかしながら、これらの認証方法にはどれも弱点があり、セキュリティに対する誤った認識をユーザに与えてしまっている場合も少なくありません。ウォッチガードの CTO、Corey Nachreiner が SC Magazine に寄稿したコラムで、2019 年もこのセキュリティに対する誤った認識がハッカーに悪用され、生体認証によるログイン方法が標的にされるだろうと説明しています。
パスワードによるセキュリティは総体的にかなり弱いものであり、それは、人間が数十ものオンラインアカウントのそれぞれに長く複雑な文字列を設定し、記憶するのは困難であるためです。指紋や顔認証を使って電話のロックを解除したり、アプリケーションにログインしたりすることは、弱いパスワードを使用したり、複数のサイトで同じパスワードを使用したりするのと比べれば、便利で安全です。しかしながら、生体認証にもハッキングの可能性はあります。Corey の記事から、具体的な例を紹介している部分を抜粋し、以下に紹介します。
2002 年に日本のセキュリティ研究者が、お菓子のグミを溶かして指紋を転写し、80% の確率で生体認証を突破することに成功しました。この 15 年間で指紋読み取り技術の精度は向上しましたが、絶対ではありません。ニューヨーク大学とミシガン州立大学の研究者が去年、シミュレーションした環境で機械学習を使って指紋の「マスターキー」を作成し、かなりの確率で成功を収めることができることを証明しました。有効な指紋を生成しようとする攻撃者は、AI を使用する必要もないかもしれません。2015 年には、外国人ハッカーが米国の OPM(人事管理局)に不正侵入し、米国の諜報機関や政府機関の職員の 560 万件の指紋を含む膨大なデータを手に入れました。
より有効な解決策は、生体認証のログイン方式と強力なパスワードまたはその他の認証方式の組み合わせ、すなわち、多要素認証(MFA)を使用することです。そうすることで、攻撃者に 1 つの要素を推測または不正取得されたとしても、アカウントが侵害されることはありません。MFA には高価で管理が面倒なハードウェアトークンが利用されることが多かったため、小規模の組織にとって現実的な選択肢ではありませんでしたが、クラウドベースでスマートフォン対応の MFA によって、あらゆる規模の組織がこのテクノロジを利用できるようになりました。
SC Magazine の記事全文で詳細をご確認いただき、生体認証に関するウォッチガードの 2019 年の予測も参照してください。また、ウォッチガードの 2019 年の予測をドラマ化したこちらのビデオもぜひご覧ください。