細工したUSBで顔認証をだます? Windows Helloに脆弱性が発見される

パスワードレス認証システム「Windows Hello」に、USBを利用して認証を突破できる脆弱性が見つかった。現在、多くの企業が生体認証を採用した認証基盤の構築に注力しているが、その危険性についても十分に認識しておくべきだろう。

» 2021年07月15日 17時55分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 多くの企業が従来の文字列ベースのパスワードから生体認証や物理キーを利用したパスワードレス認証の普及に取り組んでいる。パスワードの管理を簡素化し、サイバー攻撃のリスクを軽減する現実的な方法として、生体認証や物理キーを使う「パスワードレス」は効果的だ。

 だがこうした認証方式にも脆弱(ぜいじゃく)性は存在する。セキュリティ企業CyberArkは2021年7月13日(現地時間)、「Windows」のパスワードレス認証システムである「Windows Hello」に脆弱性が存在すると伝えた。細工したUSBデバイスを接続することで生体認証をだましてサインインが可能になると指摘している。

Bypassing Windows Hello Without Masks or Plastic Surgery Bypassing Windows Hello Without Masks or Plastic Surgery(出典:Windows Helloの脆弱性を伝えるCyberArkのWebページ)

USBを利用してWindows Helloをだます手口とは?

 CyberArkは、同社のブログ「Bypassing Windows Hello Without Masks or Plastic Surgery」で、Windows Helloの脆弱性を利用したサインインの手法について説明した。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ