「Windows Hello」の顔認証は赤外線画像で突破できると判明

by Veronica Belmont

PINコード・指紋認証・顔認証でログオンできるWindows公式の認証システム「Windows Hello」が「赤外線写真で突破できる」とセキュリティ企業のCyberArkが報じました。

Bypassing Windows Hello Without Masks or Plastic Surgery
https://www.cyberark.com/resources/threat-research-blog/bypassing-windows-hello-without-masks-or-plastic-surgery

Windows Hello bypassed using infrared image - The Record by Recorded Future
https://therecord.media/windows-hello-bypassed-using-infrared-image/

Microsoftの公式発表によると、Windows HelloはWindowsユーザーの85％が採用しているという、最も広く使われている認証システムの1つです。このWindows Helloの脆弱性について取り組んできたCyberArkは、Windows Helloが赤外線対応のウェブカメラまでサポートしている点に着目。赤外線映像の場合は検証プロセスが不十分である可能性があるという想定に基づき、「キャプチャないしは再現したターゲットの顔写真の赤外線映像版を認証システムに送信する改造USBカメラ」を作成。Windows Helloの突破に成功しました。

実証試験の映像が以下。

実験に用いられているのは、Windows Helloの実物。

これが改造USBカメラの半導体基板。接続すると、あらかじめ作成しておいたターゲットの顔写真の赤外線映像版を認証システムに送信するという仕組み。

Windows Helloの仕様上、USB接続するだけで自動でカメラを認識して、認証に用いようとします。

接続後は「顔認証でログイン」のボタンをクリックするだけで、突破成功。

CyberArkによると、Windows Helloには通常のカメラを用いた場合には静止画像であることを見抜く機能が備わっているものの、この機能は赤外線画像の場合には適用されないという不具合が存在するとのこと。そのため、CyberArkは「Windows Helloの顔認識機能自体に問題があるというよりも、ウェブカメラからのデータを処理する方法に問題がある」と言及しています。

上述の脆弱性は「CVE-2021-34466」という識別子が割り当てられて、2021年7月13日付けのセキュリティアップデートによって修正されており、今回のCyberArkの発表は、Microsoft側の対応を待ってから行われました。なお、CyberArkは「この手法が実際に用いられたという証拠は見つかっていません」と述べています。

なお、同種の脆弱性は2017年にも報告されています。

Windows 10の顔認証機能は赤外線写真の低解像度カラーコピーでだませることが判明 - GIGAZINE