指紋認証は高精度な偽の指紋なら成功率80％で突破可能

2013年発売のiPhone 5sに「TouchID」が搭載されて以降、指紋認証はかなりポピュラーな生体認証となりました。木工用ボンドでコピーした指紋で突破した事例もありますが、技術は日々進歩し、当時に比べて認証突破は難しくなっています。しかし、それでも高い精度で作られた偽指紋であれば、平均して成功率80％で突破ができるそうです。

Talos Blog || Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Fingerprint cloning: Myth or reality?
https://blog.talosintelligence.com/2020/04/fingerprint-research.html

Attackers can bypass fingerprint authentication with an ~80% success rate | Ars Technica
https://arstechnica.com/information-technology/2020/04/attackers-can-bypass-fingerprint-authentication-with-an-80-success-rate/

Cisco Talos Intelligence Groupでは、指紋認証にどういったものがあり、どのように突破可能かを示すムービーを公開しています。

Presentation: Fingerprint cloning — Myth or reality? - YouTube

指紋認証にはいろいろな仕組みがあります。静電容量式は、指紋の凸凹による電荷量の違いをセンサーで読み取り、指紋の凸凹の遠近を認識するもの。

光学式は、指紋に光を照射してプリズムで反射させてイメージセンサーで読み取り、指紋を検出する仕組み。

超音波式は、指紋に超音波を当て、返ってきた波の強さ・方向で指紋を検出します。

何らかの形で、突破したい指紋を入手したら……

画像加工などを経て最適化し、型を作ります。

こうして作られた偽指紋を指にあてがって、スマートフォンの指紋認証を行うと……

突破に成功。

iPadでも……

突破。

Macでも同様です。

指紋認証方式の南京錠でも……

もちろん解除可能。

Cisco Talos Intelligence Groupは第5世代iPad、iPhone 8、Samsung S10など多数の端末で実験を実施。その結果、突破成功率は平均で約80％に上ったとのこと。

一方で、Windowsでは指紋認証の突破は難しかったそうです。

なお、成功率こそ平均約80％と高かったものの、これは偽の指紋を高い精度で作ったからこその数字であり、達成するまでの作業は困難で退屈なものだったとのこと。

Cisco Talos Intelligence Groupは様々な情報を踏まえた上で、一般人がプライバシー保護に使うのであれば指紋認証は十分なレベルにあるとコメント。ただし、重要情報を扱っているなど、攻撃者がその人の指紋を狙うだけの十分な動機があり資金を投入する可能性がある場合には、指紋認証ではなく、強力なパスワードとトークンを用いた2要素認証を推奨しています。