ICHIRO BLOG引っ越しました

いよいよNTTドコモが契約ユーザー向けにスマホでの認証時にパスワードを必要としない生体認証を本格導入すると発表しておりました。

dアカウント、「パスワードレス認証」でセキュリティを強化（ケータイWatch 19/10/11）

パスワードレス認証を有効にしたアカウントでは、IDとパスワードを組み合わせた従来のログイン方法が利用できなくなり、スマートフォンでの指紋認証や顔認証などの生体認証が必須となる。これにより、不正ログインの可能性を低減するとともにパスワード管理の手間も減らせる。
（中略）
対象機種は、2015年夏モデル以降のAndroidスマートフォンとTouch ID、Face IDに対応するiOSデバイス。SIMロックフリーの機種は対象外。ドコモから提供する「Pixel 3」シリーズは利用できるとのこと。ケータイWatch

近年は不幸にして流出したパスワードを悪用するリスト攻撃などが増加の一途を辿っており、そうした不正行為を防止するための試みとしてパスワード認証に代わって生体情報に基づく認証システムを導入しようという機運が高まっていますが、ドコモもその波に乗ったという感じでしょうか。もちろん、端末レベルで言えばGoogleのPixelシリーズもAppleのiPhoneも当たり前のように生体認証を用意していますし、不正ログイン対策を考えると二段階認証とナンバーパスワードに生体認証を併用する形のほうが堅牢といえば堅牢になるでしょうから、確かに全体的にそっちのほうにシフトするのも当然と言えます。

しかしながら、生体認証を導入すれば完璧なセキュリティを実現できるかというと、残念ながら今のところはまだそこまで完璧なシステムとして成熟していませんので、利用に際してはエンドユーザー側もそれなりの注意が必要と思われます。

奇しくも、新たに生体認証機能を導入しているスマホで想定外の不具合などが発見されたというニュースが相次ぎました。

「Galaxy S10」、保護フィルムで誰でも指紋ロック解除Samsungはパッチを準備中（ITmedia 19/10/18）

韓国Samsung Electronicsのフラグシップ端末「Galaxy S10」にサードパーティ製保護フィルムを貼ったところ、登録していない他者の指紋でもロック解除できてしまった――。
（中略）
Galaxy S10のオンラインマニュアルの「指紋認証機能を利用する」ページには、「市販の画面保護フィルムを貼り付けると、指紋認証に失敗する場合があります」とある。また、「指紋認証技術は完全な本人認証・照合を保証するものではありません」とも書かれている。ITmedia

画面保護フィルムを貼ることで指紋センサーが動作しなくなり認証できないというのであればまだ良かったのでしょうが、登録していない他者の指紋でもロック解除できてしまうというのはセキュリティ機能としてまったく使えないザルでしかありません。まだ続報もあるかと思いますが、SamsungのGalaxyはそれでも堅牢なほうだという評価もあるので、ではそれ以外のメーカーのスマホ機種でも大丈夫なのかという疑心暗鬼はありそうです。

また、Googleの最新スマホ「Pixel 4」では、成り済ましや精度の問題からセキュリティ的に不安のある従来の指紋認証を廃し、より高度な認証を期待できるとされる顔認証を採用したわけですが、どうやら画竜点睛を欠くことになってしまったようです。

Pixel 4、顔認証「Face unlock」は寝顔でも突破可能（携帯総合研究所 19/10/18）

大規模なリークのなかで「Pixel 4」の顔認証には目の動き（瞬き）を検知できる機能が備わっていることを示す写真が流出した。当然、製品版にも搭載されるだろうと多くの人が思ったが、BBCによるとメディア向けに貸与されたPixel 4には瞬きを検知できる機能が備わっていなかったという。
（中略）
Pixel Phoneヘルプでは、“お持ちのスマートフォンが自分以外の人によって顔の前に掲げられたとき、目を閉じている場合でもロックが解除されることがあります。スマートフォンは常に、安全な場所（前ポケットやハンドバッグなど）に置いておきましょう。危険な状況に備えるには、ロックダウンをオンにする方法をご確認ください。”との警告が掲載されているが、目を通した人はごく一部だと思う。携帯総合研究所

コストや性能の問題で当初検討されていた目の動きを検知できる機能を省略したということなんでしょうか。

面白いことにGoogleもSamsungと同じように生体認証機能は完璧じゃないのでユーザー側で使い方に注意すべしという趣旨の但し書きをマニュアルに記しており、これは米国社会でありがちな集団訴訟対策の意図もあるのでしょうか。穿った見方をすれば今のところ生体認証は気休め程度ですと宣言されているようでもありますが、IDとパスワードでの管理と比べるとどちらが堅牢なのかという点でまだ発展途上であるということは間違いなさそうです。

上記の件について、いくつかの報道記事を読んでみるとスマホという普段使いする道具の認証において、利便性と堅牢性とをうまくバランスしていこうという意志は強く感じます。SamsungにしてもGoogleにしても、今回指摘されたことについては素直に問題があることを認め何らかの形で改善していく意向を示しているので今後に期待したいところではありますが、まだまだ生体認証を確実なものにするには解決すべき課題が多そうだなと感じるところでもあります。

余談ながら、SamsungやGoogleは報道機関に指摘されたから今回の不具合を認めるに至ったのかどうかは気になるところです。ちょっと事情は異なるのですがセキュリティ的に問題があると第三者から指摘されながらその相手がよく知らない個人である場合には無視してしまうという分かりやすい事案がたまたま同じようなタイミングで記事として取り上げられており、企業のリテラシーやモラル、コンプライアンスみたいなものを考えさせられました。

「変なホテル舞浜」の卵型ロボ「Tapia」に脆弱性不正操作が可能な状況Twitter上の指摘で発覚（ITmedia 19/10/17）

H.I.S.ホテルHDによると、ツイートにある通り、約90日前の7月6日にセキュリティの脆弱性を指摘するメールが宿泊客から届いていたという。これを受け、同社とTapiaの開発元であるMJIが共同で調査したが、「不正操作を含めたリスクは極めて少ない」と判断。メールは報奨金など見返りを目的とした不審なものだと結論付け、差出人との接触を避けたとしている。ITmedia

この事案では重大な事故は起きていないことから今後あまり大きな話題となることはないのかもしれませんが、IoTデバイスにおける典型的な個人情報流出に発展しかねない要素も見られるため気になる話ではあります。

なお、当該ロボット製品は過去にAmazonでも取り扱いがあったようですが、カスタマーレビューを見ると上記記事のやりとりについてもどういう感じであったかがなんとなく想像できなくもありません。

Tapia（タピア）（Amazon）

もしも、本当にセキュリティに関して知見があり、技術を使って製品やサービスを良くしていこうという考えがしっかりあるならば、むしろこれらの外部からの指摘に対して常に順応的であるべきで、また、無視した相手が無視されたことを理由に話題を拡散してしまい脆弱性が周知のことになってしまうとより大きなリスクに直面することがあります。

そのあたりも含めて、セキュリティ関連の情報の取り扱い方はガイドラインのようなものがしっかりあると良いのではないかと思うのですが。