生体認証やICカード認証の弱点を認識せよ：会社に潜む情報セキュリティの落とし穴（1/3 ページ）

本人確認の認証精度が高いとして普及しつつある生体認証やICカード認証だが、セキュリティレベルが高いと安心してしまうのは危険だ。落とし穴にも目を向ける必要がある。

[萩原栄幸，ITmedia]

数々のセキュリティ事件の調査・分析を手掛け、企業や団体でセキュリティ対策に取り組んできた専門家の萩原栄幸氏が、企業や組織に潜む情報セキュリティの危険や対策を解説します。

　今回は、磁気カードに代わるセキュリティ強化策として実用化されている、生体認証（指紋や静脈など）とICカード認証の問題点を解説します。

本当に究極の認証か？

　2000年に開催されたシドニー五輪直後の出来事です。当時、わたしは銀行員として磁気カードに代わる認証方法について、さまざまな情報の入手、実験室での試行、評価を行っていました。それ以前にも指紋や光彩、手のひら、骨格、臭い、静脈、声紋、顔といろいろな方法に出会いましたが、生体では恐らく究極の認証と思われるDNAの塩基配列を使う「DNAインク」に興味を持っていました。シドニーオリンピックでは、このDNAインクが商用化されたといい、関係者に詳しい話を聞くことができました。

　五輪開催中は認定を受けていない偽グッズが販売されていました。多額のコストを掛けて認定品を販売している業者にはたまらないもので、アトランタ五輪では正規品を見分けるためにホログラムシールが利用されたとのことでしたが、偽造業者の模倣スキルが高くなり、シドニー五輪ではDNAインクが採用されたといいます。

　値札などのタグにDNAインクを混在させて印刷することで、現場では簡単にチェックして正規品かどうかをすぐに判別できるとしていました。「これはすごい！」と考え、その仕組みについて技術的に突っ込みましたが、わたしの結論は「不採用」でした。

　当時、DNA鑑定を手掛ける研究者が「鑑定にはお金が掛かるし、時間も掛かる。精度もいまひとつだし……」と話していました。当時でもDNAの塩基構造の基本やその仕組みがある程度は理解されていましたが、民間機関に調査を依頼するなら、1回当たり数十万円の費用と1週間程度の時間を要するといわれ、オンサイトの最新設備を使っても、数時間要するということでした。

　わたしは研究者に、「DNAインクの認証には、販売店が借りたり、購入したりできて、手に持てる大きさの、数万円ほどの簡単な検出装置が実際に使われていました」と話しました。逆に研究者は「米国の業者はどう話していましたか」と尋ねました。わたしが聞いた話では、IOCのサマランチ会長（当時）のDNAを使っており、簡単に検出できるのは人のDNAであれば検出器がOKと見なしていたためだということでした。そう研究者に話すと、「それは間違って仕入れた情報か、意識的にそう話すことでビジネスチャンスを創作していた疑いがありますね」と言いました。

　DNAがIOC会長のものかどうかは別にしても、数万円の機器でDNAの塩基配列を瞬間にかつ簡単に判断するというのは、まず困難で無理だといいます。その後、販売店にあった手持ちができる機器とは赤外線レーザースキャナーだと分かりました。DNA鑑定をしているといいながら、実際にはDNAインクを作成する際に特別な波長にだけ反応する蛍光剤を混入しておき、その波長を出す機器を使って認証していたということでした。つまり、DNAの塩基配列をチェックするわけではなかったのです。

　これでは、DNAが認証でどのように使われるかが分かりませんし、DNAがあっても無くても同じことになります。DNAを本当に検査するなら、それだけの時間と費用がかかってしまうので、実際には意味がありません。