編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

古い「Windows 10」の顔認証は写真で突破可能--独SySSが動画公開

Liam Tung (CNET News) 翻訳校正: 編集部

2017-12-21 09:57

 セキュリティ研究者が「Windows 10」ユーザーに対して、撮影され印刷された顔写真で「Windows Hello」の顔認証を突破されるのを防ぐため、システムをアップデートするよう促している。

 ペンテストを手がける独SySSの研究者らによると、最新の「Fall Creators Update」を未適用のWindows 10システムは、近赤外線カメラで撮影された認証済みユーザーの写真を修正して使用する単純ななりすまし攻撃」の影響を受ける恐れがあるという。この攻撃は、複数のバージョンのWindows 10に対して有効だとされている。


この攻撃は複数のバージョンのWindows 10で有効だという。
提供:SySS

 研究者らは、LilBitのUSBカメラを接続した「Dell Latitude」や、さまざまなバージョンのWindows 10(最も初期のリリースの1つであるバージョン1511までさかのぼった)を搭載する「Surface Pro 4」で、このなりすまし攻撃をテストした。

 SySSによると、バージョン1607のWindows 10(2016年夏に提供開始された「Anniversary Update」)を搭載し、Microsoftの高度ななりすまし防止機能が有効にされたSurface Pro 4でも、このなりすまし攻撃は成功したという。しかし、バージョン1703(2017年春に提供開始された「Creators Update」)やバージョン1709(現在展開中の「Fall Creators Update」)では、なりすまし防止機能が無効になっている場合にのみ、攻撃が成功した。

 しかし、SySSによると、Fall Creators Updateを適用するだけでは、このなりすまし攻撃を阻止できないという。攻撃を防ぐには、アップデート完了後になりすまし防止機能を有効にし、Windows Hello顔認識を最初からセットアップする必要がある。

 SySSは概念実証攻撃を記録した2本の動画を公開した。3本目の動画には、バージョン1709にアップデートされたが、Hello顔認識の再設定をしていないSurface Proへの攻撃が記録されている。

3本目の動画

 米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時までに回答を得ることはできなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]