古い「Windows 10」の顔認証は写真で突破可能--独SySSが動画公開

Liam Tung (CNET News) 翻訳校正: 編集部

2017-12-21 09:57

 セキュリティ研究者が「Windows 10」ユーザーに対して、撮影され印刷された顔写真で「Windows Hello」の顔認証を突破されるのを防ぐため、システムをアップデートするよう促している。

 ペンテストを手がける独SySSの研究者らによると、最新の「Fall Creators Update」を未適用のWindows 10システムは、近赤外線カメラで撮影された認証済みユーザーの写真を修正して使用する単純ななりすまし攻撃」の影響を受ける恐れがあるという。この攻撃は、複数のバージョンのWindows 10に対して有効だとされている。


この攻撃は複数のバージョンのWindows 10で有効だという。
提供:SySS

 研究者らは、LilBitのUSBカメラを接続した「Dell Latitude」や、さまざまなバージョンのWindows 10(最も初期のリリースの1つであるバージョン1511までさかのぼった)を搭載する「Surface Pro 4」で、このなりすまし攻撃をテストした。

 SySSによると、バージョン1607のWindows 10(2016年夏に提供開始された「Anniversary Update」)を搭載し、Microsoftの高度ななりすまし防止機能が有効にされたSurface Pro 4でも、このなりすまし攻撃は成功したという。しかし、バージョン1703(2017年春に提供開始された「Creators Update」)やバージョン1709(現在展開中の「Fall Creators Update」)では、なりすまし防止機能が無効になっている場合にのみ、攻撃が成功した。

 しかし、SySSによると、Fall Creators Updateを適用するだけでは、このなりすまし攻撃を阻止できないという。攻撃を防ぐには、アップデート完了後になりすまし防止機能を有効にし、Windows Hello顔認識を最初からセットアップする必要がある。

 SySSは概念実証攻撃を記録した2本の動画を公開した。3本目の動画には、バージョン1709にアップデートされたが、Hello顔認識の再設定をしていないSurface Proへの攻撃が記録されている。

3本目の動画

 米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時までに回答を得ることはできなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]