iPhone5sからAppleでは指紋認証が使われるようになって、後継のiPhone6/6plusの大ヒットでAppleデバイスユーザには当たり前になっています。iPhoneの新機能を追いかける傾向のあるAndroidも今年のGoogle I/O 2015の基調講演で次期Androidバージョンとなる Android M からOS標準仕様として指紋認証をサポートすることを発表しています。当然、これからデビューしてくるAndroidデバイスの上位機種は指紋認証をサポートしてくることでしょう。
でも、指紋認証は安全ですか?
スパイ映画では認証する人間の虹彩をコピーしてコンタクトレンズに焼き付けて別人が使ったり、切り落とした指でドアロックを開けるというシーンを見た覚えがあります。あれは映画の中だけの話しかもしれませんが、2年前からTouch IDで指紋認証を採用しているAppleはiPhone内の指紋情報の悪用は不可能という趣旨の説明をしています。確かに2年経っても、iPhone内の指紋情報を盗用したという話しは出てきていないので、デバイス内に保管した指紋情報を盗用することはできないのかもしれません。
しかしGIZMODEのこの記事のように、デバイス内部の指紋情報を盗み出さなくても、スパイ映画のようにデバイス外で指紋をコピーして突破することはできるようです。これはデバイス内保管の指紋データを盗用されたわけではないので、Appleが言うことは正しいといえるのかもしれません。
万一でもデバイス内保管の生体認証用元データを盗まれたら目も当てられません。パスワードであれば変更することが対応することができますが、指紋や目の虹彩などを利用した生体認証の場合、指紋や虹彩は変更することはできないと思うのですが、違います?
そんなことを思っていたら、Black Hat USA 2015にてこんな発表があったとZDNetに出ていました。ここには、HTC One MaxとSAMSUNG Galaxy S5デバイス内に保管した指紋画像をリモートから盗み出すデモンストレーションを行ない成功したそうです。これらのAndroidでは指紋センサーがセキュリティ上は独立していないことが原因であり、すでにデバイスメーカにはレポートしたので修正パッチが出るだろうとなっています。併せて、先行しているiPhoneの指紋認証は非常に安全だとも言ったようです。
スマホが生活の中に普通に入ってきて、ただの電話から始まった多機能デバイスが、今では買い物や銀行口座の操作を普通にやるようになっています。指紋認証はiPhoneで使っていると便利なので、今年はAndroidでも広まっていくのでしょう。こういう脆弱性が最初からないデバイスを作ることは無理でしょうから、あとで見つかった際に迅速な修正パッチ配布生態系が、ぜひAndroidにも欲しいと思うのですが、違います?
2015年8月10日