最近、セキュリティ対策の一環として指紋認証機能付きのパソコンが発売されています。
しかしパソコンの指紋認証装置は安価にするために性能が低く、ゼラチンで作った人工指で簡単に突破できるのだそうです。
指紋の読み取り方式と照合方式
指紋認証装置はどのように指紋を認識・照合しているのでしょうか。
読み取り方式と照合方式は、主に次のような方式があります。
主な読み取り方式
光学式
指紋を画像化
静電容量方式
電極の電荷量が指紋の凹凸によって変わることを利用 濡れに弱い
電界強度方式
電極に交流電圧をかけ、指紋の凹凸によって電界強度が変わることを利用 濡れに弱い
感圧式
圧力センサーを利用
感熱式
熱センサーを利用 濡れに非常に弱い
静電容量方式・電界強度方式・感圧式は、タッチパネルでも使われている方式です。
光学式を除き、一般的に濡れに弱いという欠点があります。
特に感熱式は濡れに非常に弱く、汗っかきの人や、屋外・水気のある場所での利用には不向きです。
主な照合方式
特徴点抽出式
指紋の線の先端・分岐点を比較
パターンマッチング方式
指紋画像全体を比較
チップマッチング方式
特徴点の周囲をパターンマッチング
周波数解析方式
特定のライン上にある指紋凸の太さを波形に変換して比較
画像処理・画像認識については、残念ながら私には何の知識もありません。
詳しいことは専門家に聞いてみてください。
以上の読み取り・照合方式を、複数組み合わせたり、工夫をこらして使用しているのだそうです。
パソコンの指紋認証装置のごまかし方
以上をふまえて、パソコンの指紋認証装置をごまかすにはどうしたらよいのでしょうか。
指紋をそっくりそのままコピーしてしまえばいいのです。
その方法は、意外と安価で簡単です。
プラスチック粘土で指の型を取り、型にゼラチン(シリコンも可)を流し込んで固めるだけ。
あっけなくできあがります。
セキュリティについては、指の型は本人の同意を得なければとれないので、心配する必要は全くありません。
しかし、他人の指紋を勝手に取って作る凶悪な方法も存在します。
その方法は、ここには書けませんが、その手の論文・文献をあされば簡単に見つかるはずなので、興味のある方は調べてみてください。
ヒントは、セロテープとエッチング。ただし製作にはコツがあって、熟達しないと難しいそうです。
専門の高級な指紋認証装置でも、ソーセージで人工指を作ると突破されてしまうそうです。
ただソーセージで指紋を再現するのは、現在の技術では不可能に近いので、国家機密を管理しているのでなければ、気にする必要はないでしょう。
銀行の静脈認証のデメリット
このように、パソコンに搭載されいている程度の指紋認証は簡単にごまかせます。
また、専門の指紋認証装置のごまかし方も発見されています(現時点では実現不能だが)。
そのため、東京三菱銀行ではセキュリティ対策のため、現時点で突破方法が見つかっていない、静脈認証を2005年10月から使用を開始することにしています。
ただし、これは利便性が損なわれるというデメリットがあります。
例えば、給与の振込み口座は夫名義だが、口座の管理は妻がしているというケース。
本来は名義人(夫)の委任状がない限り、名義人以外(妻)は預金預入れ・払戻しはできないことになっていますが、事実上黙認されています。
静脈認証の鍵は名義人の静脈パターンであるので、静脈認証が導入されてしまうと名義人本人以外は預金預入れ・払戻しができなくなります。
代替手段を確保しない限り、この利便性が損なわれるわけです。
銀行もそれを理解しているためか、当分の間は暗証番号でも利用できることにしています。
しかし、それでは危険な暗証番号認証が残ってしまいます。
セキュリティを重視すれば利便性が損なわれ、利便性を重視すればセキュリティが損なわれ……
そこそこのセキュリティ対策で手をうって、あとは各個人の管理・セキュリティ意識に任せるしかないようです。
(参考資料:日経BYTE 2005年4月号/日経BP)
(初出:はてなダイアリー「八月の熱い風 ::Burning wind on August::」)