スマートフォンやノートPCのロックを手早く簡単に解除する仕組みとして、指紋認証の技術が普及してから10年近くが経つ。こうした認証機能の無効化を狙ったハッキング攻撃も、同じ年月にわたって繰り返されている。

とはいえ、よほど強力な動機と資金力をもつハッカーでなければ、指紋認証のハッキングを実行することは困難だった。ところが最新の調査によると、指紋を本物そっくりに偽造したり、さまざまなデヴァイスに侵入したりするために必要な機材の価格が、いまや大幅に下がっているという。

このほどシスコのサイバーセキュリティチーム「Cisco Talos」の研究グループが、デヴァイス10数台の指紋認証の解除に、平均80パーセントの確率で成功した。使用したツールは偽の指紋を量産するための3Dプリンター1台のみで、かかった経費は2,000ドル（約22万円）にも満たない。

それでもシスコの研究グループは、指紋認証によるロックは多くの場合において悪意ある攻撃からデヴァイスを守るというニーズを満たしており、防護機能を十分に果たしていると断言する。研究グループが成功した手法で指紋認証をハッキングするには、ユーザーの指紋のコピーを手に入れたうえ、その人がもつデヴァイスを物理的に手に入れる必要があるからだ。

普通のユーザーであっても、法的機関から自分のスマートフォンへのアクセスを要求される可能性があることを考慮したうえで、デヴァイスのロック方法を選んでほしい。指紋認証の解除を防ぐ障壁がこれまでにないほど低くなっていることを思えば、なおさらだろう。

「大半のメーカーの製品で指紋認証を突破することは、ほとんどの場合それほど大きな予算をかけなくても可能です」と、シスコのTalosチームを率いるクレイグ・ウィリアムズは言う。「家庭用3Dプリンターの解像度が向上したことで、10年前と比べて指紋認証の安全性が低下している事実は気になるところです。この種のプリンターは誰でも手に入れることができますから。とはいえ、まだまだ簡単にはいきません。実際に指紋をプリントするには、かなりの手間と能力が必要になります」

偽の指紋が認証を突破

Talosの研究員たちは、指紋の採取方法として3通りのやり方を試した。ひとつ目は、対象者の指からじかに型をとる方法。ふたつ目は、入国審査で使われているような指紋スキャナーから収集したデータを使う方法。そして3つ目は、そのほかのもの、例えば対象者が手に持っていたボトルなどから指紋を採取する方法だ。

研究員たちが型をつくるために用いたのは、比較的安価な光造形3Dプリンターである。ノズルから押し出された樹脂を紫外線で硬化させるタイプの製品だ。これを利用してシリコーンなどいくつもの素材を試した末に、偽の指紋を完成させた。意外なことに、布用の接着剤を使って成形したものが最もできがよかったという。

こうしてつくられた偽の指紋は、指紋認証センサーに本物の指であると認識させるために、小さな筒状に成形された。それを指先にはめることで、誰でも指紋の本来の持ち主になりすませるようにしたのである。

これらからわかるのは、一般ユーザー向けの指紋認証センサーをつくるメーカーが、安全性と利便性をうまく両立させる必要がある、ということだ。誤認識を防ぐためにセンサーの設定を厳しくし過ぎると、正規のロック解除まで認証に失敗しかねない。

そうした面倒な事態をスマートフォンやノートPCのようなデヴァイスで経験すれば、ユーザーはこの機能をまったく使わなくなるかもしれない。かといってセンサーの設定を甘くし過ぎれば、子どもたちが親のタブレットに“侵入”できてしまう可能性も出てくる。あるいは、もっと大変なことが起きるかもしれない。

INFORMATION プライヴァシーの問題について詳しく知りたい？ 会員限定のコンテンツも公開中！ AIとビッグデータがあらゆることを永遠に覚えている現代。データはあなたを丸裸にし、ビッグデータとなって社会の誰かに有用な情報になる──。プライヴァシーと安全・利便性のトレードオフという最重要な問いの相克をレポートする。

端末の価格と認証精度は必ずしも一致しない

ちなみにデヴァイスの価格は、指紋認証の精度の目安としては当てにならないようだ。シスコのTalosの研究グループが試したところ、例えばサムスンの中価格帯スマートフォンである「Galaxy A70」の指紋認証は解除できなかったが、正しい指紋を偽物と判断するエラーが異常なほど多かった。これに対してフラッグシップである「Galaxy S10」シリーズは、どれも偽の指紋でロックを解除できた。

Windows 10の認証機能である「Windows Hello」を偽の指紋でだますことはできなかったが、アップルの「MacBook Pro」に搭載されている「Touch ID」はまんまと突破できた。MacBook Proの2018年モデルを使った実験では、ユーザーの指から型を直接とって偽の指紋を成形した場合のロック解除率は95パーセント、スキャナーで採取したデータを使った場合の成功率は93パーセント、ユーザーが触ったものから採取した指紋を使った場合の成功率は60パーセントだった。

それでもアップルの方式は指紋認証の回数を5回までに制限していることから、総じてこの手の攻撃に対する防御策としては効果的であると、研究グループは評価している。もし研究員たちがこの回数制限を無効にするテクニックを知らなかったら、ロックの解除を何度も試みることはできなかっただろうし、これほど高い成功率を上げることもできなかっただろう。

指紋よりもパスコードのほうが安全？

シスコのチームは調査で判明したことをメーカーに公開したが、こうした脆弱性が過去にまったく認識されていなかったとは考えていないという。それどころか、シスコの研究は指紋認証には限界があるという前提で進められており、今後も綿密な調査が必要だと強調している。

過去の事例を挙げると、2016年には米連邦捜査局（FBI）の協力要請を受けたミシガン州立大学の研究チームが、亡くなった人の指紋を再現し、その人が所有していたサムスンの「Galaxy S6」の指紋認証を解除することに成功している。法的機関からの要求を受ける可能性は、一般ユーザーがデヴァイスのロック方式を選ぶ際に最も真剣に考えるべき要因だろう。

米国では捜査機関などが犯罪の容疑者に対し、指紋を利用してデヴァイスのロックを解除するよう強制できるかどうかについて、さまざまな判例がある。しかし多くの場合は、解除の強制は可能であるとの判決が下されている。プライヴァシー擁護派の人々によると、いまのところ生体認証よりもパスコードを設定したデヴァイスのほうが、捜査当局から解除を強制される可能性は低いのだという。

「一般ユーザーが使うスマートフォンに指紋認証用のスキャナーが搭載されている理由は、どちらかといえば利便性を考えてのことだと思います」と、サイバーセキュリティの研究を専門とする独立系アドヴァイザーのルカシュ・オレイニクは言う。「何も保護対策を講じないよりはるかにいいとは思いますが、一般論として言えば複雑なパスコードを利用したほうが安全ですね」

浮き彫りになる指紋認証の限界

犯罪目的のハッカーたちから見れば、指紋認証をハッキングしてまで一般ユーザーを狙う価値などないだろう。だが、資金力と強い動機を持ち合わせた犯罪者たちの標的となりうる人物なら、指紋ではなくパスコードか顔認証でデヴァイスをロックすることを検討すべきだ。さらに技術が進歩して指紋認証を完全にだませるほどになれば、指紋認証という方式そのものを業界として見直す必要が出てくるかもしれない。

「わたしたちがつくった偽の指紋で、大半のメーカーのデヴァイスの指紋認証を解除することができました」と、シスコのウィリアムズは言う。「大部分のユーザーにとっては、いまの指紋認証の方式で問題ないはずです。しかし、これから数年のうちに3Dプリント技術はますます進化します。一般ユーザーも別の選択肢を模索する必要に迫られるかもしれません」