手のひらから、静脈認証スキミング

呉井嬢次(Johji Kurei) 2007-09-12 14:41:00

 金融機関に導入され、普及しつつある静脈認証は、従来の暗証番号よりセキュリティが高いことから利用者は増加している。その一方で、静脈認証入力デバイスが安価に販売されている。知らない間に、自分の静脈をかすめとられるリスクを考えてみたい。

消極的なセキュリティの確保としての暗証番号

 数字4文字しか入力できない金融機関の暗証番号の脆弱性は、以前から指摘されている。0から9まで4桁のため、組合せは1万通りあるが、多くの金融機関では、0000と9999を指定することはできない、また、推測可能な番号(誕生日、電話番号など)を避けることを推奨しており、差し引くと実際には約9000通りとなる。暗証番号を総当りで試す人もいないだろうということから、消極的に安全を確保していると言うべきかもしれない。

積極的なセキュリティの確保

 これに対して生体認証(バイオメトリックス認証)は、複製が困難なこと、識別時間が短いことから、暗証番号と比べれば、積極的に安全といえる。もちろん、複製が100%不可能というわけではない。また、安易に登録が可能な脆弱性があれば、データを置き換えることでなりすましによる犯行につながる可能性がある。犯行した後で、元のデータに置き換え(または消去)すれば、証拠も残らない(証拠が上書きされるまで繰り返す方法もある)。
 いずれにせよ、静脈認証は、指紋認証と比較して、汚れによる誤認識率が低く、識別時間も短いことから広く普及している。

新認証装置の有効期限

 新しいセキュリティ認証装置が普及すれば、新たな脅威も登場してくる。そのキッカケとなるのは、静脈認証識別装置(デバイス)の存在だ。最近では、住民基本台帳システムにも対応した静脈認証デバイスが数万円で簡単に誰でも入手できるようになった。

 こうしたセキュリティ識別装置を安易に入手できる背景には、メーカー同士の販売戦略がある。自社の装置を大量に販売すれば儲かる利益主義は企業として避けられないかもしれない。しかし、その延長上に悪意の持った者が入手し、装置やデバイスソフトを解析されると、悪用されるのは時間の問題だろう。

 かつて磁気カードが普及し、磁気カードの書き換えに伴うカード偽造事件が相次いだ。当時秋葉原では、磁気カードの読み取り装置が安価で販売されており、磁気カードのパターンを紹介された雑誌があった。当時のパソコンを接続すれば、磁気カードの書き換えがもたらす悪影響は想定された。今では磁気カードを書き換えるデバイスの取り扱いには、相応の注意が払われている。

メーカーがやるべきこと

 過去からの教訓を引き出すなら、静脈認証デバイスの安易な販売姿勢にメーカーは配慮をしてもらいたいと思う。特に非接触型の静脈認証デバイスは本人が意識せずに静脈情報を入手することができる。「静脈認証スキミング」と呼ぶことができるなら、新しい犯罪のキッカケになる可能性がある。

 もちろん、デバイスから入手されたデータだけでは、登録番号、IDがわからないので、システムにアクセスできない。おそらく、それを前面に出して反駁することが予想される。しかし、安全を脅かすのは、小さな脆弱性の積み重ねでもある。一つ一つの手がかりに、最終的には静脈認証装置というブラックボックスは解体され、事件として表面することになる。

静脈認証スキミング対策を考えよう

 マウス、ドアの扉に手を置いた裏側に静脈認証装置があって、データを盗み取られても本人は気づくことはない。近い将来、そんなリスクを回避する人向けに、手のひらをカバーするセキュリティ手袋が販売されたり、職場から貸与されるだろう。

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR