Pocket

2度めのiPhone2機種同時リリースで、携帯セキュリティー会社のLookoutがTouchIDのセキュリティーテストを行い、突破方法を発見した。

TouchIDはユーザーがiPhone5S、6、6 plusで、ホームボタンのセンサーで指紋のスキャンを行い、アンロックできるものだ。端末のアンロック、Apple PayやApple Storeでの支払いに指紋を要する事で、より情報をセキュアにしようとするアップルの試みだ。

関連記事:アップルの「Touch ID」指紋認証センサーのセキュリティ面について考える

ではこれがハッキングされたら何が起こるのか?

Lookoutのセキュリティ研究家、マーク・ロジャーズは昨年5SのTouchIDをハッキングした。そして今回、CSIの様な手順を用いて、接着剤で作られた偽の指紋を使ってiPhone 6をアンロックすることに成功した。

理屈から言えば、もしその様な偽造された指紋が手元にあれば、攻撃者はiPhoneを乗っ取り、勝手に買い物をしたり、写真やメール、その他の個人情報を抜き取ることが出来る。なんだか犯罪ドラマの筋書の様でもあり、指紋によるハッキングが大々的に公開されたら、被害に遭うのは時間の問題かもしれない。

誰かがコピーされた指紋を使って自分のiPhoneにアクセスできるというのは気分が悪いかも知れないが、悩むことはない。ロジャーズが行った方法でデバイスにアクセスするには、相当のスキル・時間・根気が必要だ。去年レポートした通り、攻撃者があなたから切り取られた指を使ってアクセスをする事は出来ない。

ロジャーズは、この偽造による不正アクセスの可能性について、あまり心配しないでいいという。

「この手段を用いる事が出来るほど攻撃者が優れているとは思えないので、消費者にとってなんらかのリスクになるとは考えられない。今回のような指紋の偽造を行うのは難しいことだ。TouchIDはドアの鍵のようなものだと考えてみて欲しい。平均的な攻撃者はそこから先に進むことが出来ない」と、彼はメールによるインタビューで答えてくれた。

攻撃者は指紋採取用の粉末や瞬間接着スプレーなどを使って標的から鮮明な指紋を採取する必要があるばかりか、それを現像、印刷するための環境も持たなければならない。また、その指紋を薬品や接着剤で成形しなければならない。犯罪分析の為のラボが使えるのでもなければ、これらの道具・設備は高価なものだ。

MTIzMDQ5NjY1MzQwNjcxNTAw

この実験を通じて、ロジャーズはiPhone 5Sと6との間で指紋スキャナーの機能向上はほとんどないことを発見した。ただし、iPhone 6の方が、少々読み間違いが減ったという。つまりスキャニングはよりクリアになったということだ。

ロジャーズは、技術的に素晴らしいものだが、アップルは更にデバイスをセキュアなものにするためにまだできることがあるという。例えばアンロックを試す回数を制限したり、デバイスがある一定期間以上使われなかった場合、アンロックはパスコードのみにする、認証の種類毎に異なる指を使うなどだ。

「アップルがこの問題に取り組み、TouchIDが簡単に騙される事が無いよう改善されることを期待している。しかしながら、アップルが取り組んでないとは断言できないものの、既に支払いにも使われようとしている中、問題に改善の兆候が何も見られない」と彼は語っている。

画像提供:
トップ画像:Selena Larson
iPhone 6とiPhone 5Sの画像:Lookout

Pocket