“指紋画像”を盗み、スマートフォンや銀行口座を解除する攻撃 オーストラリアの研究者が発表:Innovative Tech
オーストラリアの研究者は、指紋読取装置からユーザーの指紋画像を取得する攻撃を提案した研究報告を発表した。取得した指紋画像を用い、スマートフォンや銀行口座、ドアのスマートロックなど他のシステムにアクセスするという悪用が行える。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
オーストラリアのJames Cook University Singaporeに所属する研究者が発表した論文「IoT Droplocks: Wireless fingerprint theft using hacked smart locks」は、指紋読取装置からユーザーの指紋画像を取得する攻撃を提案した研究報告だ。取得した指紋画像を用い、スマートフォンや銀行口座、ドアのスマートロックなど他のシステムにアクセスするという悪用が行える。
指紋をはじめとする生体情報は、認証要素として広く利用されるようになった。指紋読取装置は、スマートフォンのセキュリティや銀行業務、スタッフの入退室、建物や部屋のドアなど、さまざまな場面で利用されている。
指紋は「あなた自身」であり、そのユニークさと個人への永続性が評価されている。しかし、パスワードやトークン、鍵などの他の要素とは異なり、指紋を変更できる回数に限界があり、永続的に狙われる脆弱性も持つ。
今回は、指紋を盗む方法「IoT Droplocks」を提案する。この方法を実証するために、市販のスマートパドロック(COTS)を改造して実際に指紋画像が盗めるかを検証する。スマートパドロックには、静電容量式指紋リーダーと無線通信の搭載が必須となる。スマートパドロックを分解し、悪意あるファームウェアで再プログラムして改造を行う。
ユーザーが改造後のスマートパドロックで指紋認証を行うと鍵が開き、個人の指紋の画像が組み込みのWebサーバにバッファリングされる。その指紋画像は、離れたスマートフォンやノートPCからWi-FiやBLE経由でダウンロードできる。
盗まれた指紋を使用して被害者になりすますには、攻撃者は認証システムが受け入れる形で指紋を復元しなければならない。指紋画像で解除できるものは簡単だが、中には皮膚や脈拍、温度検出などの生体チェックが含まれる場合があるため、指紋の画像では不十分な場合がある。しかし、3Dプリンティングを使えばスキャン可能な表面を生成できるため復元は可能である。
指紋画像そのものではなく、テンプレートを生成して保存するものもある。これも新しいテンプレートを生成し、テンプレート・データベースを検索して一致するものを探す方法で回避できるが、今回の手法ではオリジナルの画像を生成するため必要ではなかった。
今回のように指紋を取得できると、既存の技術を使って被害者の指紋を再現し、スマートフォンや銀行口座、オフィスなど他のシステムにアクセスすることができてしまう。
Source and Image Credits: Steve Kerrison. IoT Droplocks: Wireless Fingerprint Theft Using Hacked Smart Locks
関連記事
- 自動運転車の視界から“人だけ”を消す攻撃 偽情報をLiDARに注入 電通大などが発表
米ミシガン大学、米フロリダ大学、電気通信大学による研究チームは、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告を発表した。 - 声を“匿名化”するシステム「V-CLOAK」 人間っぽさを残した声に変換、声紋の個人情報漏えいを防ぐ
中国のZhejiang UniversityとWuhan Universityの研究チームは、音声の明瞭性と自然性、音色を保持したまま、リアルタイムに音声を匿名化するシステムを提案した研究報告を発表した。 - “ワイヤレス充電器”周辺のスマホをハッキング 聞き取れない音声攻撃で操作
中国のThe Hong Kong Polytechnic Universityの研究チームは、ワイヤレス充電器の近く(充電中含む)のスマートフォンを音声攻撃する研究報告を発表した。電磁干渉によって、聞こえない音声コマンドをスマートフォンのマイクに注入して操作する。 - 充電ケーブルからスマホをハッキング 充電中にゴーストタッチで画面を強制操作 中国とドイツチームが発表
中国のZhejiang UniversityとドイツのTechnical University of Darmstadtによる研究チームは、静電容量式タッチパネルに対して、充電ケーブル経由で信号を注入するゴーストタッチ攻撃を提案した研究報告を発表した。 - ネットに接続していないPCをハッキング 超音波で機密データを盗む攻撃 イスラエルの研究者が発表
イスラエルにあるBen-Gurion University of the Negevの研究者は、インターネットに接続されていない「エアギャップ・ネットワーク」内のコンピュータから機密データを盗む攻撃を説明した研究報告を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.