【メルマガ】生体認証の危険性(2022年03月15日)

先日、サムスンがハッキングを受け、ソースコード(プログラミングコード)等が流出した、との発表がありました。
調査の結果、個人情報は含まれていないとのこと。

しかし、生体認証ロック解除操作のアルゴリズムなどが流出したようです。

今回のメルマガでは、生体認証について考えてみます。

ハッキング事件

サムスンがハッキングを受け、ソースコード(プログラミングコード)等が流出したようです。
約200GB分ものサイズのようです。

実際に、「トレント」という仕組みを活用して、ソースコードがばら撒かれていたようです。

生体認証ロック解除操作のアルゴリズムを含む、その他セキュリティ関連の処理のソースコードも流出。

つまり、どういうロジックで生体認証を行っているか、どのように生体認証データを保存しているか、などが見えてくるわけです。

もちろん、端末に保存された生体認証データを使うには、何かしら「固有の鍵」が必要だとは思いますが、ロジックに脆弱性があると危険であることには変わりありませんね。

もし生体認証用のデータが流出したら・・・

生体認証は便利です。
しかし、致命的な欠点があると、個人的には考えています。

それは、生体認証情報の流出リスクです。

生体認証は、元情報(ようするに指紋など)を簡単に書き換えることができません。
(これがパスワードの流出だった場合、変更すればよいだけですよね。)

サムスンの生体認証データがどのように管理されているかは知りません。
(さっと調べたところ、見当たりませんでした・・・)

Appleの場合は、デバイス内にのみ保存され、サーバなどに保存することはない、と明言されています。
Windows Hello 生体認証においても、デバイス上のみのようです。

こうした、セキュリティを意識しているような企業の仕組みは考え抜かれていると思います。

が、怪しげな企業が提供する生体認証の仕組みは使わない方が安全かもしれませんね。。
普通は、パスワード入力も用意されているでしょうから・・・

生体認証データ流出に対する予防策は、なかなか思いつきません。
しいて言うなら「使わない」ことくらいでしょうか。。

メルマガ登録


週1回、3分で楽しめるメルマガ『Professional's eye』。
デジタルに詳しくなり、さらにはご自身の意見が持てるようになります!

送信時点で「Privacy Policy」に同意したものとみなします。
広告を含むご案内のメールをお送りする場合があります。

バックナンバーを見る

>【発売中】情シスの定石(技術評論社)

【発売中】情シスの定石(技術評論社)


情報システム部門の担当者が「絶対に」押さえるべきノウハウを体系化!

・システムの企画から廃止まで、情シスが「何をすべきか」「どう動くべきか」がわかる
・失敗につながる「見えない要因」を明らかにし、成功に導くためのポイントを解説
・情報システム開発に携わるすべての人の必読書

■ こんな方にオススメ
現役「情シス」/ 異動で「情シス」へ / 転職で「情シス」へ
部下・新人育成にお悩みの方 / 業務部門の方
経営者 / 開発ベンダ勤務の方 / 就活生

CTR IMG