TouchIDのセキュリティを考える

いまやiPhoneを筆頭として当たり前の技術となった指紋認証システムですが、その手軽さとは裏腹にセキュリティに問題があるということが言われ続けています。

指紋のように変更できないものを鍵として用いるのは間違っているという人もいます。
しかしセキュリティは利便性とのバランスで考えるべきで、リスクに対してどういう対策をとるか、まずどこに重きを置くかということを理解しておくべきでしょう。

 

現実に起きている問題

スマホに指紋認証が搭載された直後から言われている話ですが、寝ている間に家族や恋人によって勝手に指が使われてロック解除されてしまうという問題。先日も6歳の子供が寝ている親の指を使って勝手に通販してしまったということで大きな話題になりました。

寝ている親の指で指紋ロック解除、6歳児がポケモン商品を大量購入 – CNET Japan

これは基本的にどうしようもありません。
鍵と金庫の両方に自由に触ることができる状態になっているんですから防ぎようがありません。たとえ物理キーでも寝ている間に使われてしまえばアウトです。
簡易の金庫であれば鍵だけで十分ですが、もっと安全に保管するべきものは暗証番号の組み合わせで守ります。これはiPhoneでも同じで、こうしたリスクを排除するべき状況にあるならばパスコード・パスワードを利用すべきでしょう。

家族からの不正アクセスにおびえずにすむ人であれば、iPhoneを落としてしまったときに不正に使われることがないというだけでTouchIDは十分にセキュアであると思います。
もちろん飲み会でしょっちゅう酔いつぶれてしまうような人はその場にいる友人にも勝手に使われてしまうわけですが、信用できない友人と飲むのがわかっていれば一度電源を切るなどの対策が可能です。
信用できる人間とだけ付き合っているのならば問題はありませんが、そうでない場合には寝ている間に指の型を取られることも想定しておくべきかもしれません。

最近では写真に写った指の画像からでも指紋認証が突破できるからピースサインやサムズアップはやめようなんて記事を見かけますが、闇の組織に狙われているとか、国家の諜報部に追われている人でもなければ気にする必要はありません。指が決して写らないように生活するなんて馬鹿げていますし、過去の写真を消し去ることはできませんから。
スマホやグラスに付着した指紋から複製が作れるなんて話もありますけど、だからといって指紋を残さないような生活も不可能です。付着した指紋や写真から複製指紋を作るようなハッカーに狙われているのであればTouchIDは使うべきではないでしょう。

また指紋という変更できないものを鍵として使うことへの懸念に対しては、金庫の側の鍵を変更するだけで対応できます。
TouchIDで使う指紋が複製されたならパスコードに変えることです。

この問題で重要なのはiPhoneが盗まれていないのならば、指紋だけで遠隔地から不正アクセスされるようなことはないという点です。
TouchIDは近しい人間に対してのセキュリティ対策ではなく、それ以外の人間に対して有効なものだと考えておきましょう。
 

粘土でTouchIDをだます

iPhone5sのころからゼラチンや粘土でのTouchID突破例は報告されていますが、最新のiPhone7ではどうなっているでしょうか。

試してみました。

まぁご覧の通り粘土で複製した指紋でもたやすく突破できてしまいます。
寝ている間に指の型を取られてしまったらセキュリティとしてはまったく役に立ちません。

パスコードにしても人前でしょっちゅう入力しているわけですから、近しい人がその気になれば観察して解除することは可能でしょう。人前で入力しないのが正しいですけど、現実的には無理ですよね。
指紋が複製されるとか、パスコードが見られたことに対抗するには、iPhone自体を適切に管理して他人が触れる状態にしないということに尽きます。

 

TouchIDを手袋で使えるようにする

昨年末にTouchIDに使える手袋用のシールという面白いものがKickstarterに登場しました。

ランダムにパターン成型されたシールを指紋の代わりに登録することで、手袋を付けたままでもTouchIDを使えるようにしようという商品です。
鼻の頭でも、唇でも、犬の鼻でも、猫の肉球でも登録できるのは知ってたけど、この発想はなかった。

TAPS – Make touchscreen gloves using a Sticker w/ Touch ID. by Tony Yu — Kickstarter

【やじうまミニレビュー】Nanotips「TAPS」 ~どんな手袋でもiPhone/iPadのTouch IDが使えるようになるシール – PC Watch

考えるまでもなく手袋を盗まれたらアウトです。
しかし手袋とiPhoneの両方が盗まれる状況を作らなければ、便利に使えるいいアイディアだとも思いますし、たとえばスキーやスノボの間だけでも手袋で解除できるようになっていればとても手軽になることでしょう。

この商品を見てみると電導性素材であることと、パターンが刻まれたものであることがわかります。ということはレザー系のスマホ対応手袋でも同じことができるのではないかと思い立ったので試してみました。

使用したのは以前に紹介したユニクロのスマホ対応手袋です。

【iPhone7対応】ユニクロのタッチパネル対応手袋を買ってみた

親指と人差し指の部分にタッチパネル用の電導性素材が使われております。こいつを登録して試してみます。
▼指先を拡大

はい。できました。

同じパターンに見えても違う指では解除ができませんでしたので、ある程度のランダム性はあるようです。試行回数制限もありますから別の手袋で解除される心配はしないですむでしょう。

冬場に限ってはこうした手袋で使うことも悪くないと思われます。もちろん手袋とセットでiPhoneが盗まれないこと、シーズンが終わったらTouchIDから指紋登録を削除することが前提になりますけどね。
守るべきデータの重要度との兼ね合いにはなりますが、使い方を間違えなければ便利になりますので興味がある人はお試しあれ。

 

セキュリティと利便性

セキュリティを意識させることなく使うことができるという点で指紋認証は優れています。特に第二世代のTouchIDは認識も早く、ホームボタンを触るだけで指紋を読ませるという意識すら無くしてくれました。
私は指紋認証の速度と手軽さを気に入っていますが、複製された指紋に対して無力だというのは事実。
MacBookにもTouchIDが搭載されたものがありますが、iPhone同様に気を付ける必要があります。
せめてTouchIDの試行回数は自由に設定できるようになってほしいですね。

端末を物理アクセスされる状況におかないというのがもっとも重要なことではありますが、家族との共同生活をしている状況ではその要求も難しい。誰からもアクセスされたくないものにはTouchIDの手軽さを捨ててしっかりとしたパスワードなどを掛けておくことが必要になるでしょう。

使い方を間違えなければ十分に役立つTouchIDですが、これまで書いてきたように第三者による突破も可能であり、現状でそれを防ぐためには利便性を犠牲にしてまたパスワードに戻るしかありません。

 

新たな生体認証

Windows 10ではWindows Helloという生体認証システムが使えるようになり、指紋のほかにカメラでの顔認証も可能になりました。
iPhoneにも虹彩認証が追加されるんじゃないかという話もありますが、これが実現すれば手袋装着時にTouchIDが使えない問題は解決するわけで冬場の不満が大幅に軽減されることでしょう。

すでに実用化しているARROWS NX F-04Gによる虹彩認証はなかなかの速度です。赤外線で読み取っているので写真などには反応しないし、暗い場所でも問題なく使えそう。

これをTouchIDと組み合わせて使えるのならばよりセキュリティを強固なものにできますが、寝ている間に家族からの不正アクセスを防げるかという点にはTouchID同様に不安が残ります。
本人の意思に関係なくロック解除できてしまう以上は完璧なセキュリティ対策にはなりえませんが、利便性とのバランスを考えるといいんじゃないかと思います。

 

使うべきか、使わないべきか

さて、TouchIDを使うべきか、使わないべきかという問いに対しては、基本的には使うべきだと思います。まだ過渡期にあるものだとはいえ、iPhoneのデータを守るには十分役に立つものです。
ただしあなたの使う環境でどこまでのリスクを想定するかによってTouchIDを使わないという選択肢も必要になるとは思います。

別に大した情報も入っていないのであればこんなことで心配することもないわけです。
危険だから使うのを止めろとやみくもに不安をあおっているわけではありません。私も使い続けますよ。

リスクを理解していなければ安全に運用することはできません。理解していれば穴があっても問題ない範囲で使うことができるでしょう。

2 COMMENTS

失礼しました

最後は倫理の問題だと思います。
どんな強固なセキュリティーを構築しても
人から漏れる秘密を防ぐことが一番難しいと聞きます。
という観点から情報教育の中で家族であっても
自分以外のIDやPassを使うと言う事はどういう事なのか教えていくという
事が何よりも大切だと思います。
今、TVCMで、
「私たち学生は当たり前のようにスマホと生きている デジタルとかグローバルとか最初から普通 私たち...  なんてやっていますが(結構好きです(^_^;))

子どもであっても自分の個人情報を管理することは当たり前
それだけに、他人の個人情報の盗用は情報化社会の根底を揺るがす事なのだと
共通理解を持てるようにしたいですね。
と、書きながらこれは綺麗ごとだと分かっています。
犯罪はゼロにはならないでしょう。これもまた仕方ないことだと思います。

返信する
maxi

少なくとも家族が信用できない状況であれば、通知もぜんぶオフにして、TouchIDじゃなくパスコードを使ってとかなり不便なことになってしまいますからねぇ。
家族であっても、他者と生活するうえで越えてはいけない守るべき境界線をさせておくのが大事ですね。

本人の意思を問わずにロック解除できてしまうシステムというのは欠陥があると言われればたしかにそうなんですが、利便性を考えると捨てるには惜しいものなので、バランスを考えて活用していきたいものです。

返信する

コメントを残す