セキュリティ研究者が「Windows 10」ユーザーに対して、撮影され印刷された顔写真で「Windows Hello」の顔認証を突破されるのを防ぐため、システムをアップデートするよう促している。
ペンテストを手がける独SySSの研究者らによると、最新の「Fall Creators Update」を未適用のWindows 10システムは、近赤外線カメラで撮影された「認証済みユーザーの写真を修正して使用する単純ななりすまし攻撃」の影響を受ける恐れがあるという。この攻撃は、複数のバージョンのWindows 10に対して有効だとされている。
この攻撃は複数のバージョンのWindows 10で有効だという。
提供:SySS
研究者らは、LilBitのUSBカメラを接続した「Dell Latitude」や、さまざまなバージョンのWindows 10(最も初期のリリースの1つであるバージョン1511までさかのぼった)を搭載する「Surface Pro 4」で、このなりすまし攻撃をテストした。
SySSによると、バージョン1607のWindows 10(2016年夏に提供開始された「Anniversary Update」)を搭載し、Microsoftの高度ななりすまし防止機能が有効にされたSurface Pro 4でも、このなりすまし攻撃は成功したという。しかし、バージョン1703(2017年春に提供開始された「Creators Update」)やバージョン1709(現在展開中の「Fall Creators Update」)では、なりすまし防止機能が無効になっている場合にのみ、攻撃が成功した。
しかし、SySSによると、Fall Creators Updateを適用するだけでは、このなりすまし攻撃を阻止できないという。攻撃を防ぐには、アップデート完了後になりすまし防止機能を有効にし、Windows Hello顔認識を最初からセットアップする必要がある。
SySSは概念実証攻撃を記録した2本の動画を公開した。3本目の動画には、バージョン1709にアップデートされたが、Hello顔認識の再設定をしていないSurface Proへの攻撃が記録されている。
米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時までに回答を得ることはできなかった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
