セキュリティ

Windows 10の顔認証機能は赤外線写真の低解像度カラーコピーでだませることが判明


Microsoft Windows 10には、カメラを使って顔を認識することで端末にログインすることができるWindows Helloと呼ばれる顔認証機能が搭載されているのですが、人物の顔を赤外線写真のように加工した低解像度なカラーコピーを見せることでアンロックしてしまえるという脆弱性がセキュリティ調査会社の検証で判明しています。

SYSS-2017-027: Biometricks: Bypassing an Enterprise-Grade Biometric Face Authentication System / SYSS-2017-027: Biometricks: Bypassing an Enterprise-Grade Biometric Face Authentication System / Pentest Blog
https://www.syss.de/pentest-blog/article/2017/12/18/460/

Windows 10 Facial Recognition Feature Can Be Bypassed with a Photo
https://www.bleepingcomputer.com/news/microsoft/windows-10-facial-recognition-feature-can-be-bypassed-with-a-photo/

Windows Helloは近赤外線センサーなどを使って人間の顔を認識することで通常のパスワードや指紋認証の代わりとなる機能で、一部のWindows 10搭載PCで利用することが可能です。しかしドイツのセキュリティ調査会社「SySS GmbH」がこの機能について調査したところ、本人がいなくても紙に印刷した顔写真でだましてしまえることが判明しました。

Windows Helloによる顔認証では、近赤外線カメラと、Windows 10バージョンによっては通常のRGBカメラのデータを使って認証の精度を上げる仕組みが搭載されています。さらに、Windows Helloには他人による「なりすまし」を防止する「拡張スプーフィング対策」機能が搭載されているのですが、既定で無効となっていて自分で有効にする必要があります。またこの機能は、Microsoft「Surface Pro 4」などの一部の対応機種でないと利用できないものとなっています。

SySS GmbHによれば、機能を回避できたのは一部の条件を満たした場合だったとのこと。

・人物の顔を真正面から撮影
・その写真は近赤外撮影されたもの
・画像の明るさやコントラストが単純化されているもの
・レーザープリンターでその写真を印刷したもの

以下のムービーは、実際にその様子を実証したものです。

Biometricks 1/3: Windows Hello Face Authentication Bypass PoC I - YouTube


検証に用いられたのはWindows 10ビルド1607がインストールされたSurface Proで、拡張スプーフィング対策機能がオンにされています。


まず、PCに本人の顔を登録して認証できるようにしておきます。


そして用意したのがこの画像。赤外線写真を模した顔写真をレーザープリンターで印刷したもので、写真の解像度は340×340ピクセルという低画質なもの。


この写真をSurface Proのカメラにかざすと……


こともなげにロックが解除され、デスクトップが表示されました。


また、白黒の顔写真にクレヨンで赤い色をつけたものでも同様にロックが解除されてしまったとのこと。


また、より新しいバージョンのWindows 10ビルド1709でも検証が行われています。


このバージョンではセキュリティが強化されていますが、同上の写真を480×480ピクセルに画質を上げたものを使えば突破は可能とのこと。


このように、端末のロックは印刷された写真画像で解除されてしまいました。


また、半透明のテープをRGBカメラの前に貼り付けてテストしてみると……


時間は長くなりましたが、赤外線カメラを使って顔認証を突破してしまえることがわかりました。


SySSによると、Windows 10の最新ビルドである1703と1709では、赤外線カメラを併用する「拡張スプーフィング対策」機能が有効になっている場合、上記のような印刷された顔写真によるスプーフィング攻撃では認証を突破できないとのこと。そのため同社では、Windows Helloの顔認証を利用する場合は、Windows 10をビルド1709以降の最新版に更新し、拡張スプーフィング対策機能を有効にした上で、Windows Helloの顔認証を再セットアップするよう推奨しています。

・関連記事
Microsoft製品の脆弱性の94%は管理者権限をオフにすることで回避可能であることが判明 - GIGAZINE

Microsoftが顔を見せるだけでログインできる生体認証「Windows Hello」を発表 - GIGAZINE

Microsoftの生体認証「Windows Hello」で顔認証をサポートしているPCのリストが公開 - GIGAZINE

in ソフトウェア,   ハードウェア,   動画,   セキュリティ, Posted by logx_tm