生体認証アラカルト、パスワードの限界萩原栄幸が斬る! IT時事刻々(1/2 ページ)

生体認証には実にさまざまな種類がある。まだまだ発展途上のものが多いが、パスワードの限界が見えた今、未来はどうなっていくのだろうか。

» 2011年08月27日 08時00分 公開
[萩原栄幸,ITmedia]

本コラムは、情報セキュリティの専門家・萩原栄幸氏がITとビジネスの世界で見落とされがちな、“目からウロコ”のポイントに鋭く切り込みます。


 最近は金融機関をはじめ、パスワード認証の補強策として「生体認証」を追加したシステムが増えてきた。今回はこの生体認証に関わるエピソードを紹介したい。

ベンツ窃盗団の怖い事件

 この事件は講演やセミナーでも時折紹介しているので、ご存じの方がいるかもしれない。筆者が知ったのはBBC NEWSであった。

 この事件は数年前にマレーシアで発生した。当時、マレーシアでの「メルセデス・ベンツSクラス」の鍵は指紋認証が標準で備えられていたという。ベンツの窃盗団は、深夜に富裕層の屋敷に侵入してベンツを盗んでいた。だが指紋認証になってからは難しくなったようだ。ある日、窃盗団は強硬策に出た。車を盗む前にまず母屋の寝室に向かい、「ナタ屋(切り屋ともいう)」がきれいに主人の指を切断して、その指で指紋認証を突破し、ベンツを盗んだという。「ベンツくらいどうにでもなる」という富裕層からみると、「たかがベンツ」のために自分の指が切られてしまうような事態は、恐怖以外の何者でもないだろう。

ゼラチンで指紋認証を突破

 これは有名な話で、IT技術者なら一度は耳にした人が多いと思う。横浜国立大学の松本勉先生の論文などで明らかになった方法だ。ゼラチンで指の型を作り、これで指紋認証を突破するものである。松本先生は、この他にデジカメで撮影した光彩の画像を使う方法や、大根で作成した静脈を認証登録に使うといったさまざまな可能性について知見を述べている(関連PDF資料)。

 筆者が金融機関にいたころ、指紋認証や静脈認証でセキュリティの向上を目指していた専門家にとって、こうした方法が明らかになるのは、とても恐ろしいことだった。苦労して検討した仕組みが突破され、ネットバンキングで不正が行われたり、ATMで他人の口座から金銭を盗み出したりするような事態が起きるかもしれない。そう考えれば考えるほどに、「完全な防止策など存在しないかも」と悩み込んでしまうこともあった。

 生体認証では、例えば自分が指紋を登録してからシステムに入ろうとしても拒否される「本人拒否率」と、登録されていない他人をシステムが「正当」とみなして受け入れてしまう「他人受容率」が問題になる。この2つは深い相関関係にあるのだ。

 本人拒否率を限りなく0%に近づけると、その反対に他人受容率が限りなく100%に近付いてしまう。つまり、登録した本人を限りなく100%に近い確率で認証しようとすると、他人の指紋も受け入れてしまう可能性が高くなってしまう。一方、他人受容率を0%に近づけると本人拒否率が限りなく100%に近づく。他人の指紋認証を絶対に受け付けないようにすればするほど、自分が登録した指紋も受け付けられなくなってしまう。現実的には、このバランスを実際の運用と照らし合わせてしきい値を決める。こうした感覚はパスワード認証にはないものだ。

DNAインク(DNA認証)はすばらしい?

 2000年のシドニー五輪が終了してしばらく経ったころ、外資系ソフト販売会社から筆者の会社に売り込みがあった。かつては究極の生体認証といわれたDNA認証である。筆者は個人的にも興味があったので、さっそくプレゼンテーションをしてもらった。この会社によれば、シドニー五輪のグッズ売場で、当時のサマランチIOC会長から採取したというDNAを使ってインクを作成し、正規品に付けられているタグ(印刷にDNAインクを使用)を機械で識別していたという。

 この時は担当者が営業マンであったため、肝心の技術的な内容についてほとんど回答してもらえなかったが、後日、実際に技術を担当した人物との面談でとても驚いたのだった。

 実は下調べの時に、筆者はDNAインクの製造技術者から「実際に個人のDNAの真贋を確かめるには数十万円の分析費用と急いでも1週間程度の時間を要する。これをどう克服していくのかがDNA認証の課題だ」ということを聞いていた。つまり、外資系ソフト販売会社が言う「グッズの真贋を売り場で簡単に判定できる」というのは、当時の技術としては不可能なので、ウソであると疑ったのだ。

 彼にその質問をぶつけると、笑顔でこう答えた。「萩原さん、その時の識別に使ったのは赤外線レーザースキャナーなのです。DNAの塩基配列を判定して真贋を決めているわけではありません。塩基配列をわずか数秒で識別できるわけがありません。シドニー五輪の場合は、DNAインクに特別な波長にだけ反応する蛍光剤を混入させておき、その波長の有無を識別して認証していたのです」

 つまり、DNA認証の肝である塩基配列をチェックしているわけではなかった。筆者はつい、「そんな、アホな!」と言ってしまった……。考えようによっては、詐欺に近いものだ。このケースではDNAインクの特性がまったく生かされていない。DNAがなくても、タグに蛍光剤を配合しておけば、簡単に正規品になりすますことができてしまう。

 筆者はDNA認証をすばらしい技術だと考えているが、識別やコストが掛かり過ぎるようでは、実際の運用には耐えられないだろう。技術が優れているだけに極めて残念に感じたものであった。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ