バイオメトリクス認証は万全ではない，なりすましを許す可能性あり

　今回の「今週のSecurity Check」では，その特別編として，セキュリティ・ベンダーである三井物産株式会社GTI PROJECT CENTERの新井一人氏に，先日米国で開催されたセキュリティ会議「BlackHat Briefing」の一セッションを題材に寄稿していただきました。セッションのテーマは「バイオメトリクス認証のぜい弱性」です（IT Pro編集部）。

　2002年7月31日，8月1日の両日に米国LasVegasにて「BlackHat Briefing」が開催された。BlackHat Briefingとは，1997年から毎年開かれている，セキュリティに関する講演会である。

　今年のBlackHat Briefingでは，セキュリティのエキスパートによるパネルディスカッションや講演が，40件以上行われた。いずれも興味深いものだったが，筆者が特に興味を持った講演の一つに，米Secure ComputingのRick Smith氏による「Biometric Dilemma」があった。これは，最もセキュリティ・レベルが高いといわれるバイオメトリクス認証のぜい弱性に関する講演である。

バイオメトリクス認証は本当に安全か？

　バイオメトリクス認証は，大きく分けると次の2種類に分類できる。一つは，ユーザーの身体的特徴を測定し，登録されている特徴情報と照合することで，ユーザー認証を行うもの。これには，指紋や掌の形状，虹彩，顔の形状などを利用した認証が挙げられる。

　もう一つは，ユーザーのある特定の行動（振る舞い）を測定し，その特徴を登録情報と照合して認証を行うものである。具体的には，声紋や筆跡，キー・ストローク（キーボードの打ち方）を利用した認証方法が該当する。

　バイオメトリクス認証には，他の認証技術と比べ，次のような利点があると言われている。

1. 認証に必要な情報（パスワードなど）や機器（トークンなど）を，ユーザーが記憶したり所持したりする必要がない
2. 本人以外が認証されることはない

　しかし，バイオメトリクス認証は，本当にセキュリティ・レベルの高い認証技術なのだろうか？上記 1 については，異論はない。しかし，1 は利便性についての利点である。一般的に，セキュリティと利便性はトレードオフの関係にある。1 を満たしたままで，2 を満たすことが果たして可能なのだろうか。Rick Smith氏は，発表の中でその疑問に答えてくれた。同氏によると，バイオメトリクス認証は万全ではなく，いくつかの攻撃手法が存在するというのだ。バイオメトリクス認証を使用する場合には，そのことを十分認識した上で，運用方法に注意したり，他の認証方式を組み合わせたりする必要があるのだ。以下，同氏の講演要旨をまとめる。

バイオメトリクス認証への3つの攻撃手法

　バイオメトリクス認証システムに対する攻撃として，次の3つの手法が知られている。

1. トライアル・アンド・エラー攻撃
   　バイオメトリクス認証システムの精度が100％ではないことを利用して，登録ユーザー以外のユーザーが何度も繰り返して認証を試みる攻撃手法
2. デジタル・スプーフィング
   　バイオメトリクス認証システムの多くでは，機器等が読み取ったユーザーの特徴情報を数値化（デジタル化）して，サーバーへ送信し照合する。そこで，この数値をあらかじめ盗聴し，サーバーへこの数値を送信することで，登録ユーザーになりすます手法
3. 物理的スプーフィング
   　ユーザーの身体的特徴（指紋，虹彩など）を模倣した物体を利用して，ユーザーになりすます手法

　以下，それぞれについて説明する。

トライアル・アンド・エラー攻撃

　バイオメトリクス認証では，機器等が読み取った，ユーザーの身体的あるいは行動の特徴を数値化して，あらかじめ登録された数値と照合する。つまり，入力された数値と，あらかじめ登録された数値が一致しているかどうかで，本人かどうかを認証するのである。この点では，パスワード認証と同じである。

　しかし，パスワード認証と大きく異なる点がある。それは，パスワード認証の場合には，入力数値と登録数値がまったく同じでなければ認証されないのに対して，バイオメトリクス認証では，まったく同じでなくても，登録情報に入力情報が近ければ認証されるのである。

　これは，バイオメトリクス認証の性質上，仕方がないことである。指紋認証を例にとると，指の状態が登録時と異なれば，特徴から算出される数値も異なってくる。そのため，認証される数値には，ある程度の幅をもたせる必要がある。これが，攻撃者の狙い目となる。登録されているユーザー以外のユーザーでも，何度も試すことで，“たまたま”この許容範囲に入る可能性があるのだ。

　バイオメトリクス認証において，この許容範囲は「本人排斥率（FRR）」と「他人誤認率（FAR）」として数値化されている。FRR が大きくなるほど，登録ユーザー本人であるにもかかわらず，認証を拒否される率が高くなる。逆に，小さくなるほど，ユーザー本人が拒否される率は低くなる。FAR が大きくなると，登録ユーザー以外をユーザー本人として認証してしまう率が高くなる。FAR が小さければ，この率は低くなる。

　バイオメトリクス認証装置の精度を上げる（例えば許容数値の幅を少なくする）と，セキュリティ面は向上する（FAR は小さくなる）ものの，FRR が大きくなり，使い勝手は悪くなる。逆に利便性を高めるために精度を下げると，今度は FARが上昇する。これが，バイオメトリクス認証が抱える一つのジレンマである。「利便性のためにFRRは小さく，セキュリティのためにFRAも小さく」というのが理想だが，両立することはできないのである。そして，FARをゼロにできないために，他人によるトライアル・アンド・エラー攻撃が成功する可能性もゼロにはできないのである。

　とはいえ，この攻撃の成功率は，それほど高いとは言えない。例えば，FARが1％のシステムで攻撃を成功させるには，理論上2の6乗回の攻撃が，0.01％のシステムでは2の12乗回，0.0001％のシステムでは2の19乗回の攻撃が必要となるからだ。

　しかも，バイオメトリクス認証におけるトライアル・アンド・エラー攻撃はそれほど簡単ではない。例えば指紋認証においては，攻撃回数分の指が必要となるからだ。つまり，攻撃には複数の人間の協力が必要となる。

デジタル・スプーフィング

　パスワード認証においては，ネットワーク上を流れるパスワード情報を盗聴し，その情報を使って登録ユーザーになりすます攻撃方法が知られている。同様の手法がバイオメトリクス認証システムにおいても可能である。それがデジタル・スプーフィングである。

　バイオメトリクス認証のシステムでは，認証に必要な登録情報を記録するサーバーが必要になる。このサーバーへ登録情報が送信される際に，この情報を盗み出すのである。これを防ぐには，情報の暗号化などが必要となる。

　ただし，盗聴を必要としないデジタル・スプフィーングも存在する。ユーザーの特徴を読み取る機器（リーダー）に問題がある場合には，前のユーザーが残した情報をそのまま送信することで，登録ユーザーになりすますことが可能な場合がある。

　例えば，指紋認証において，指紋リーダーによっては，直前に指紋を読み込ませたユーザーの指紋を，再度リーダー上に浮かび上がらせることで，なりすましが可能になる。指紋を浮かび上がらせる方法としては，息を吹きかけたり，お湯を入れた袋を押し付けたり，塵（ちり）を付けたテープをリーダーに押し付けることなどが知られている。

物理的なりすまし

　ユーザーの身体的特徴を模倣した物体を作成し，それを読み込ませることで，ユーザーになりすます攻撃手法も存在する。例えば，指を模造することで，指紋認証においてなりすましが可能であることが実証されている。

　2002年5月に開催されたITU-T（国際電気通信連合の電気通信標準化部門）のワークショップでは，横浜国立大学教授の松本勉氏よって，偽の指を使ったなりすましが可能であることが発表された。同氏によると，プラスチックで指の型を取り，そこにグミを流し込むことで，指紋認証システムをあざむける，指の模造品（ゴムの指）を作れるという。また，David Willis氏やLisa Thalheim氏は，ロウで型を取り，シリコンで指を模造する方法を雑誌等で発表している。

　ただし，いずれの場合も，本人の指から型を取る必要がある。つまり，本人の協力が必要である。そのため，以上は実験の色合いが強く，脅威度は小さい。

　ところが，話はこれだけでは終わらない。実は，スパイ映画のように，ビール瓶から指紋を採取して，偽造する方法も実証されている。採取した指紋から，ゼラチンを利用して偽の指先を作り上げることができるのだ。これは，上記の松本氏が同じようにITU-Tの会議で発表した。

　指紋認証ばかりではない。顔の形状で認証するシステムや、虹彩認証システムにおいては，写真やビデオ画像を用いることで，なりすましが可能であるという。これについては，上記のThalheim氏らが，ドイツの「C'Tマガジン」誌で報告している。

バイオメトリクス認証の注意点

　以上のことから，バイオメトリクス認証システムを利用する上では，以下の4点を肝に銘じておく必要があるだろう。

1. バイオメトリクス認証においては，FARとFRRについてのみ議論されがちだが，それらの数値だけで，バイオメトリクス認証のぜい弱性や性能を語ることはできない
2. （どのような認証アルゴリズムが使われているのかといったことだけではなく）認証システムの読み取り装置などにも注意する必要がある
3. バイオメトリクス認証においては，物理的ななりすましが可能である
4. 登録ユーザーが知らないうちに，物理的ななりすましを可能にする“複製”を作成される恐れがある

　以上が講演要旨である。ユーザー本人の身体的特徴を利用するバイオメトリクス認証といえども，万全とはいえないのである。確実にいえることは，他の認証方式に比べれば，利便性が高いということだけだ。

　なおRick Smith氏の講演では，なりすましの問題に焦点が当てられたが，バイオメトリクス認証のぜい弱性はこれだけではない。運用も重要である。例えば，バイオメトリクス認証のバックアップとして，パスワード認証を使う運用は危険である。バイオメトリクス認証に失敗した場合でも，パスワードの入力で認証されるような運用方法を採った場合，セキュリティ・レベルは，パスワード認証だけを利用している場合と何ら変わりなくなる。

　逆に，パスワード認証だけの場合よりもセキュリティ・レベルが低下する場合もありうる。バイオメトリクス認証を過信して，パスワード管理がずさんになる恐れがあるからだ。

　以上を十分認識した上で，バイオメトリクス認証を利用しなければならない。具体的には，他の認証方式と組み合わせたり（“OR”ではなく，“AND”で組み合わせる），運用を工夫したりして，セキュリティを高め，維持する必要がある。

---