Android端末で攻撃成功 パスキーに対する新たな脅威「BrutePrint攻撃」とは？

新たなサイバー攻撃「BrutePrint」が研究者らによって発表された。Android端末に対する攻撃が成功しており、生体認証を利用するパスキーに対しても脅威となる可能性が指摘されている。

[後藤大地，有限会社オングス]

　eSecurity Planetは2023年5月23日（現地時間）、新たなサイバー攻撃「BrutePrint」について報告した。研究者らによると、この攻撃は近年注目を集めるパスワードレス認証技術「パスキー」に対する脅威となる恐れがあるという。

新たなサイバー攻撃「BrutePrint」とは（出典：eSecurity PlanetのWebサイト）

パスキーも危機に陥らせる新しいサイバー攻撃「BrutePrint攻撃」の仕組みは

　現状、セキュリティにおいてパスワードが重要なポジションを占めている。ユーザーには推測されにくい強力なパスワードをサービスごとに使うことが推奨されている。しかし、実際は、ーザーは短く覚えやすいパスワードを複数のサービスで使い回している。こうした実態はサイバー攻撃者にとって有利であり、多くのアカウントが乗っ取りを受けて被害が発生している。

　この状況を改善する認証方式として注目を集めているのが「パスキー」だ。パスキーは、指紋認証や顔認証などの生体認証によって端末に秘密鍵を含む認証資格情報を、サーバ側に公開鍵を生成する仕組みだ。生体認証によって、そのままアカウントにログインできる。最近Googleが全ての主要なプラットフォームでパスキーを有効化した。これをきかっけに、今後の普及が期待されている。

　eSecurity Planetが取り上げているのは中国浙江大学などの研究者らによって公開された「BrutePrint」と呼ばれるサイバー攻撃手法だ。これは指紋認証の回数制限を回避してブルートフォース攻撃を実行するもので、数時間で指紋認証を回避できるという。

　このサイバー攻撃にはスマートフォン指紋認証（SFA）フレームワークの2つのゼロデイ脆弱（ぜいじゃく）性（CAML《Cancel-After-Match-Fail》脆弱性およびMAL《Match-After-Lock》の脆弱性）と、SPI（Serial Peripheral Interface）プロトコルの単純さが利用されている。

　BrutePrint攻撃を発表したセキュリティ研究者らは、OSをアップデートした10種類のスマートフォンで実験をした結果、「Android」スマートフォンでは、回数制限を無制限してブルートフォース攻撃を実行できたと説明する。試験したとされるデバイスは「iPhone SE」（Apple）と「iPhone 7」（Apple）、「Galaxy S10+」（Samsung）、「5T」（OnePlus）、「7 Pro」（OnePlus）、「P40」（Huawei）、「Mate30 Pro 5G」（Huawei）、「Reno Ace」（OPPO）、「X60 Pro」（Vivo）、「Mi 11 Ultra」（Xiaomi）だ。

　BrutePrint攻撃は簡単に利用できるものではないが、物理的にスマートフォンを入手したサイバー攻撃者は時間をかけて指紋認証を回避して内部へアクセスできることが示されたことになる。