3種類のノートPCでWindows Helloの指紋認証機能のバイパスを確認:セキュリティニュースアラート
Blackwing IntelligenceはWindows Helloのセキュリティ評価を実施し、3種類のノートPCで指紋認証をバイパスできたと報告した。
Blackwing Intelligenceは2023年11月21日(現地時間)、Microsoftのセキュリティエンジニアリンググループ「MORSE」(Microsoft’s Offensive Research and Security Engineering)からの依頼で、生体認証機能「Windows Hello」における指紋認証のセキュリティ評価を実施した結果を公開した。
認証をバイパスされた3つのノートPCとは?
この結果、3つのノートPCに内蔵された指紋センサーに脆弱(ぜいじゃく)性が見つかり、Windows Helloによる認証を完全にバイパスすることに成功したという。
検証対象となったノートPCは以下の通りだ。
- Dell Inspiron 15
- Lenovo ThinkPad T14
- Microsoft Surface Pro 指紋認証機能ありタイプカバー(Surface Pro 8 / X向け)
Blackwing Intelligenceの研究チームによると、これらのノートPCに対してソフトウェアとハードウェアの広範囲におけるリバースエンジニアリングやカスタムTLS暗号実装の欠陥の利用、独自プロトコルの解読と再実装といった分析および研究を実施し、最終的に全ての機種で認証バイパスを実行できたという。
Blackwing Intelligenceは、Microsoftが開発したWindows Helloの指紋認証システムとして使われているセキュアデバイス接続プロトコル「SDCP」(Secure Device Connection Protocol)に問題があると指摘している。SDCPは生体認証デバイスとシステム間で安全な通信を確立することを目的に設計されたものだ。
研究チームは具体的には、デバイス製造業者がSDCPの目的を誤解しているとしており、調査した3つのデバイスのうち、2つでこのプロトコルが有効化されていなかったと説明した。生体認証ソリューションを製造するベンダーに対してSDCPを有効にするとともに、実装を第三者である専門家に監査してもらうことを強く推奨している。
Blackwing Intelligenceは今後の研究において、ハードウェアとファームウェアのセキュリティや隠れた機能、ハードウェアに対する直接攻撃、「Android」「iOS」「Linux」など他のプラットフォームに対する攻撃可能性などを調査する予定だ。
関連記事
- Google、パスキーに対応したTitan Security Keyを10万個「無償配布」する計画を発表
Googleは最新版のTitan Security Keyを発表した。この新デバイスは250個のパスキーの保存が可能でGoogleストアで販売されている。Googleは2024年を通して高リスクユーザーに10万個を無償配布する計画だと説明している。 - パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
このコラムではパスワードの使い回しはNGだと口が酸っぱくなるまで言っています。では、ちょっと変更すれば問題ないのかというと、そうでもないようで……一体どうすればいいのでしょうか。 - MacBook vs. その他のPCはどちらが“安全でコスパがいい”? 永遠の論争に決着か
Ciscoは13万人の従業員がAppleのPCとそれ以外のPCのどちらかを選択した後のデータを分析した結果を公開した。MacBookとその他のPCはどちらが安全でコスパがいいのだろうか。 - スマホ買い替えシーズン到来 筆者がオススメする「絶対あった方がいい機能」
新型iPhoneをはじめスマートフォンの新製品が発表される時期が間もなく訪れます。今回は筆者が、スマートフォンに必須だと思う機能を紹介します。買い替えを検討している方は参考にしてください。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.