【メルマガ】生体認証の危険性(2022年03月15日)

先日、サムスンがハッキングを受け、ソースコード(プログラミングコード)等が流出した、との発表がありました。
調査の結果、個人情報は含まれていないとのこと。

しかし、生体認証ロック解除操作のアルゴリズムなどが流出したようです。

今回のメルマガでは、生体認証について考えてみます。

ハッキング事件

サムスンがハッキングを受け、ソースコード(プログラミングコード)等が流出したようです。
約200GB分ものサイズのようです。

実際に、「トレント」という仕組みを活用して、ソースコードがばら撒かれていたようです。

生体認証ロック解除操作のアルゴリズムを含む、その他セキュリティ関連の処理のソースコードも流出。

つまり、どういうロジックで生体認証を行っているか、どのように生体認証データを保存しているか、などが見えてくるわけです。

もちろん、端末に保存された生体認証データを使うには、何かしら「固有の鍵」が必要だとは思いますが、ロジックに脆弱性があると危険であることには変わりありませんね。

もし生体認証用のデータが流出したら・・・

生体認証は便利です。
しかし、致命的な欠点があると、個人的には考えています。

それは、生体認証情報の流出リスクです。

生体認証は、元情報(ようするに指紋など)を簡単に書き換えることができません。
(これがパスワードの流出だった場合、変更すればよいだけですよね。)

サムスンの生体認証データがどのように管理されているかは知りません。
(さっと調べたところ、見当たりませんでした・・・)

Appleの場合は、デバイス内にのみ保存され、サーバなどに保存することはない、と明言されています。
Windows Hello 生体認証においても、デバイス上のみのようです。

こうした、セキュリティを意識しているような企業の仕組みは考え抜かれていると思います。

が、怪しげな企業が提供する生体認証の仕組みは使わない方が安全かもしれませんね。。
普通は、パスワード入力も用意されているでしょうから・・・

生体認証データ流出に対する予防策は、なかなか思いつきません。
しいて言うなら「使わない」ことくらいでしょうか。。

メルマガ登録

"意見が持てる" デジタルコラム
『メルマガ Professional's eye』

週1回、3分で楽しめます。


詳細はこちら >>>
送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

バックナンバーを見る

>情報システムの

情報システムの"教科書"本を発売中!


■ 情シス、システムコンサルタント、システムエンジニアの方へ
情シスの定石(技術評論社)

■ システムエンジニア、情シスの方へ
システム設計の教科書(技術評論社)

CTR IMG

株式会社グロリア ご紹介