崎山伸夫のBlogで『モバイル機器の指紋認証デバイスに頼ってはいけない』として、モバイル機器の指紋認証デバイスの信頼性に疑問を投げかける記事が投稿されています。この記事の根っこは第1回 日経セキュリティ会議があるようで、モバイル機器の指紋認証デバイスに対し、ゼラチン製の擬似指で攻撃に成功できたということのようです。
攻撃の詳細については、崎山伸夫氏のBlogを参照してもらうとして、確かにこういった攻撃は可能な気がします。一つの問題は既に議論されていますが、指紋は変えられないことですね。そのため、指紋が盗まれた場合にもパスワードと違って、以前のものを無効にできないということがあげられます。結果的に、携帯機器1つの問題が指紋を使うすべての脆弱性と拡大するように思います。
恐らく、現実的には指紋も認証に組み入れる形で、複数の認証方式を組み合わせるしかないのではないでしょうか。たとえば、指紋+パスフレーズとかですね。ただ、用途によっては利便性がポリシーに合わないところも出てきそうではありますが。
コメントする