独セキュリティ企業のSySSは18日(現地時間)、Windows 10に搭載されている生体認証システム「Windows Hello」の顔認証が、印刷写真で突破できるという脆弱性を発表した。

Windows Helloによる顔認証では、近赤外線カメラと、使用されているWindows 10バージョンによっては、RGBカメラのデータも利用されている。

加えて、Windows Helloによる顔認証には、「拡張スプーフィング(なりすまし)対策」機能が用意されており、なりすまし攻撃への対策を強化することが可能となっている。しかし、同機能は既定で無効となっているほか、グループポリシーから明示的に有効にする必要がある。また、Microsoftの2in1「Surface Pro 4」などの対応機種でないと利用できない。

しかし、今回発見された攻撃では、拡張スプーフィング対策機能が有効化されていても通用するという。

攻撃は、SySSの2人のITセキュリティ専門家Matthias Deeg氏とPhilipp Buchegger氏によって発見されたもので、攻撃に必要とされるのは以下の条件を満たした写真だという。

ユーザーの正面からの顔写真であること

近赤外線カメラで撮影した写真であると

画像の明るさとコントラストが調整されていること(単純な画像処理としている)

上記の画像をレーザープリンタで印刷すること

同社の概念実証試験では、Windows Hello対応のカメラを搭載しないDell「Latitude E7470」ノートPCと、Windows Hello対応のIRカメラ「LilBit USBカメラ」を接続した環境、Microsoft「Surface Pro 4」を利用した環境で、複数のWindows 10バージョンで認証を突破できたという。

検証機 Dell Latitude E7470+LilBit USBカメラ Microsoft Surface Pro 4 拡張スプーフィング対策 無効 有効 無効 Windows 10 Pro (バージョン1709, OS Build 16299.98) ○ × ○ Windows 10 Pro Fall Creators Update (バージョン1709, OS Build 16299.19) ○ 未検証 未検証 Windows 10 Pro (バージョン1703, OS Build 15063.726) ○ × ○ Windows 10 Pro Creators Update (バージョン1703, OS Build 15063.674) ○ 未検証 未検証 Windows 10 Pro (バージョン1703, OS Build 15063.483) ○ 未検証 未検証 Windows 10 Pro (バージョン1607, OS Build 14393.1914) ○ ○ ○ Windows 10 Pro Anniversary Update(バージョン1607, OS Build 14393.1770) ○ ○ ○ Windows 10 Pro November Update (バージョン1511, OS Build 10586.1232) ○ 未検証 未検証

同社の調査結果によれば、Windows 10の最新Buildである1703、1709は、前述の対応ハードウェアで「拡張スプーフィング対策」機能が有効になっている場合、印刷された顔写真によるスプーフィング攻撃では認証を突破できない。

そのため同社では、Windows Helloの顔認証を利用する場合は、Windows 10をBuild 1709以降の最新版に更新し、拡張スプーフィング対策機能を有効にした上で、Windows Helloの顔認証を再セットアップするよう推奨している。