ドイツのハッキング集団「Chaos Computer Club(CCC)」は現地時間2013年9月21日、米Appleの新スマートフォン「iPhone 5s」に搭載されている指紋認証機能「Touch ID」の迂回に成功したと発表した。偽造指紋でiPhone 5sをロック解除する様子を、動画共有サイト「YouTube」で公開している。

 CCCが使った手法は、まずガラスに付いた指紋を2400dpiの解像度で撮影する。ノイズを除去したのち、レイザープリンターでトナーを厚く設定して1200dpiで透明シートに出力する。トナーで形成された指紋パターンに、ピンクのラテックス液あるいは白い木工用ボンドを塗布する。乾燥した後、指紋パターンの膜をシートからはがし、息を吹きかけて少し湿らせてから、画面がロックされたiPhone 5sのセンサー部に置き、ロックを解除する。

 Touch ID回避デモを実施した「Starbug」と名乗るハッカーは、「AppleはTouch IDが従来の指紋認証技術より安全だとしているが、単に解像度が従来より高いだけなので、偽指紋の解像度を上げるだけで済んだ」と説明。「われわれが何年も前から言い続けているように、指紋をセキュリティ機能に使うべきではない。指紋はいたるところに残り、採取して偽造するのが簡単だからだ」と述べた。

 また、CCC広報担当のFrank Rieger氏は「変更が不可能で、毎日どこにでも置き忘れてきているものをセキュリティートークンとして使うなどばかげている」とコメントしている。

 Touch IDを破るコンテストを開催している「istouchidhackedyet.com」サイトでは、Starbugに賞金を与えることを決定した。他のユーザーがビデオを真似てTouch IDの迂回に成功していることから、Starbugの手法が立証されたと判断したという。なお9月23日付けの米CNNの記事によると、istouchidhackedyet.comにはこれまで個人などの寄付により賞金1万6000ドル以上が集まっているという。

[発表資料へ]