編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

古い「Windows 10」の顔認証は写真で突破可能--独SySSが動画公開

Liam Tung (CNET News) 翻訳校正: 編集部

2017-12-21 09:57

 セキュリティ研究者が「Windows 10」ユーザーに対して、撮影され印刷された顔写真で「Windows Hello」の顔認証を突破されるのを防ぐため、システムをアップデートするよう促している。

 ペンテストを手がける独SySSの研究者らによると、最新の「Fall Creators Update」を未適用のWindows 10システムは、近赤外線カメラで撮影された認証済みユーザーの写真を修正して使用する単純ななりすまし攻撃」の影響を受ける恐れがあるという。この攻撃は、複数のバージョンのWindows 10に対して有効だとされている。


この攻撃は複数のバージョンのWindows 10で有効だという。
提供:SySS

 研究者らは、LilBitのUSBカメラを接続した「Dell Latitude」や、さまざまなバージョンのWindows 10(最も初期のリリースの1つであるバージョン1511までさかのぼった)を搭載する「Surface Pro 4」で、このなりすまし攻撃をテストした。

 SySSによると、バージョン1607のWindows 10(2016年夏に提供開始された「Anniversary Update」)を搭載し、Microsoftの高度ななりすまし防止機能が有効にされたSurface Pro 4でも、このなりすまし攻撃は成功したという。しかし、バージョン1703(2017年春に提供開始された「Creators Update」)やバージョン1709(現在展開中の「Fall Creators Update」)では、なりすまし防止機能が無効になっている場合にのみ、攻撃が成功した。

 しかし、SySSによると、Fall Creators Updateを適用するだけでは、このなりすまし攻撃を阻止できないという。攻撃を防ぐには、アップデート完了後になりすまし防止機能を有効にし、Windows Hello顔認識を最初からセットアップする必要がある。

 SySSは概念実証攻撃を記録した2本の動画を公開した。3本目の動画には、バージョン1709にアップデートされたが、Hello顔認識の再設定をしていないSurface Proへの攻撃が記録されている。

3本目の動画

 米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時までに回答を得ることはできなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]