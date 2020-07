2020年07月29日 06時00分 セキュリティ

VR/AR対応デバイスを人前で使用することを踏まえた新しいセキュアな認証システム「ZeTA」とは?



高性能なPCがなくても単体で使用できるスタンドアローン型VRデバイス「Oculus Quest」や、サングラスのように小型なVRヘッドセットなどの登場により、VRやARに対応したヘッドマウントディスプレイ(HMD)の存在は急速に身近なものとなりつつあります。VR/AR対応のヘッドマウントディスプレイが普及する上で課題となってくる「人前でVR/ARを使用する際のセキュリティ認証はどうすればいいのか?」という問題について、専門家が新しい切り口の認証システム「Zero-Trust Authentication(ZeTA)」を提案しています。



Towards Secure and Usable Authentication for Augmented and Virtual Reality Head-Mounted Displays

https://arxiv.org/abs/2007.11663



Zero-trust authentication may replace passwords in AR/VR headsets | VentureBeat

https://venturebeat.com/2020/07/27/zero-trust-authentication-may-replace-passwords-in-ar-vr-headsets/



最新のVR/AR向けヘッドマウントディスプレイ(HMD)の中には、手の動きや音声を認識する機能を持つ機種もあります。そのため、認証システムとしてジェスチャーや仮想キーボードを用いたPINコードの入力や、音声などを介した生体認証などが考案されています。





しかし、手の動きや音声を使用した認証システムには、「人前で使用すると簡単に盗まれてしまう」という問題があります。他にも、頭や身体の動きを利用した生体認証システムなども考案されていますが、そうしたシステムを採用すると、追加のデバイスが必要になったり、他の人がHMDを使えなくなってしまったりします。



ドイツのカールスルーエ工科大学のセキュリティ研究機関SECUSOに所属するReyhan Duezguen氏らの研究チームは、2020年7月22日に発表した論文の中で、「『ZeTA』を用いたVR/ARでの認証システム」の仕組みを提唱しました。ZeTAは、SECUSOの研究者らが2016年に発表した論文で言及されている概念で、「認証プロセスに使用するデバイスや通信環境が信頼できなくでもセキュリティ的な安全は確保することができる」ことを骨子とした認証プロトコルです。



以下は、ZeTAを使用したVR用HMDでの認証プロセスを図で表したものです。最初にユーザーがアカウントを作成すると、ZeTAはパスワードの代わりに簡単な秘密をユーザーに提示します。ZeTAで使用される秘密は、例えば「yellow OR wheel(黄色か車輪)」「blue NOT green(青であって緑ではない)」など、2つ以上の概念とその概念の関係性から構成されています。なお、アカウント作成の際には、セキュリティが確保されているデバイスと通信環境が必要です。





HMDを使用するユーザーが実際に認証を行おうとすると、ZeTAは簡単な課題を提示し、ユーザーはそれに「はい」か「いいえ」で答えます。例えば、秘密が「黄色か車輪」で課題が「ひまわり」の場合、ひまわりは一般的に黄色い花なので答えは「はい」になります。こうした質問を何回か行い、ユーザーが正しく答えられた場合のみ認証が完了します。





この方法を使うと、認証プロセスでやりとりされる情報は「ひまわり」「はい」といった単語でしかなく、肝心の秘密が直接やりとりされることはありません。そのため、パスワード自体をやりとりする認証システムより安全で、手の動きを盗み見られる可能性がある公共スペースや、通信が侵害されているおそれがあるフリーWi-Fiなどの通信環境でも、サーバーさえ無事なら安全に認証を行えます。



1回の質問なら「はい/いいえ」の2択なので、50%の確率でなりすましができてしまいますが、質問の回数を重ねることでなりすましの可能性を低減させることが可能です。研究チームによると、仮に1度の回答ミスも許容しない設定なら、14回の質問で一般的なPINコードと同レベルの安全性が確保できるとのことです。



ユーザーの知識をベースにしたZeTAは簡単な質問で認証が可能な反面、文化的な認識の違いが障害になる場合があります。例えば、ひまわりには白色や赤色に見える品種もあるため、ユーザーの中には「ひまわりは黄色ではない」と考える人もいる場合があります。研究チームは今後、さまざまな文化間の差に注目したアプローチにより、ZeTAの使いやすさとセキュリティのバランスを評価していく予定だとのことです。