編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

古い「Windows 10」の顔認証は写真で突破可能--独SySSが動画公開

Liam Tung (CNET News) 翻訳校正: 編集部

2017-12-21 09:57

 セキュリティ研究者が「Windows 10」ユーザーに対して、撮影され印刷された顔写真で「Windows Hello」の顔認証を突破されるのを防ぐため、システムをアップデートするよう促している。

 ペンテストを手がける独SySSの研究者らによると、最新の「Fall Creators Update」を未適用のWindows 10システムは、近赤外線カメラで撮影された認証済みユーザーの写真を修正して使用する単純ななりすまし攻撃」の影響を受ける恐れがあるという。この攻撃は、複数のバージョンのWindows 10に対して有効だとされている。


この攻撃は複数のバージョンのWindows 10で有効だという。
提供:SySS

 研究者らは、LilBitのUSBカメラを接続した「Dell Latitude」や、さまざまなバージョンのWindows 10(最も初期のリリースの1つであるバージョン1511までさかのぼった)を搭載する「Surface Pro 4」で、このなりすまし攻撃をテストした。

 SySSによると、バージョン1607のWindows 10(2016年夏に提供開始された「Anniversary Update」)を搭載し、Microsoftの高度ななりすまし防止機能が有効にされたSurface Pro 4でも、このなりすまし攻撃は成功したという。しかし、バージョン1703(2017年春に提供開始された「Creators Update」)やバージョン1709(現在展開中の「Fall Creators Update」)では、なりすまし防止機能が無効になっている場合にのみ、攻撃が成功した。

 しかし、SySSによると、Fall Creators Updateを適用するだけでは、このなりすまし攻撃を阻止できないという。攻撃を防ぐには、アップデート完了後になりすまし防止機能を有効にし、Windows Hello顔認識を最初からセットアップする必要がある。

 SySSは概念実証攻撃を記録した2本の動画を公開した。3本目の動画には、バージョン1709にアップデートされたが、Hello顔認識の再設定をしていないSurface Proへの攻撃が記録されている。

3本目の動画

 米ZDNetはMicrosoftにコメントを求めたが、本稿掲載時までに回答を得ることはできなかった。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]