無縫地帯

iPhoneの指紋認証が突破されたそうですが、これはセキュリティとはなんぞやという話でもあります

新しく出た「iPhone 5s」に採用されたセキュリティ機能が指紋認証方式ということで、さっそくハッキング大会が自然発生、すでに破ったとネットメディアが報じましたが、まあなかなかむつかしいところです。

山本一郎です。なんか指紋が薄いです。

ところで、新しく出た「iPhone 5s」にはセキュリティ機能として指紋認証方式が採用されているのですが、これが色々と話題です。

iPhoneの指紋認証、犬の足でもやってみた(CNN.co.jp 2013/9/21)

指紋認証に登録できるのは犬だけではない。米国のIT系ブログサイト「テッククランチ」は、猫の足でも登録できることを確認済みだ。CNN.co.jp
指紋認証センサーを使ってのこうしたお遊び系のネタは尽きないようで、もっと下品な話もネットには出ていたりしますが、そちらは割愛ということで。

で、真面目な話としては、このiPhone 5sの指紋認証がどこまでセキュリティとして機能するのかが注目されていて、非公式なハッキングコンテストまで開催される有様。

新型iPhoneの指紋認証機能を破れるか、ハッカーらがコンテスト(ロイター 2013/9/20)

1万ドルを提供したあるベンチャーキャピタル企業のアーチュラス・ローゼンバッハ氏は、このコンテストについて、まだ見つかっていないバグをアップルが発見する手助けになると指摘。「問題になる前にそれを修正するためのものだ」と話した。ロイター
そんなタイミングでドイツのハッカー集団が指紋認証を突破したと名乗りを上げました。

iPhone 5s指紋認証あっさり破られる。ガラスに残った指紋で(ギズモード・ジャパン 2013/9/24)

カメラとレーザープリンターと木工用ボンドさえあれば世界中にある既存の指紋センサーと同様に突破できてしまうというのが実際のところのようです。ギズモード・ジャパン
ただですね、この記事だけを読むと誰でも簡単に指紋認証を突破できてしまうような印象を与えますが、実はかなり習熟度の高い作業が求められるプロの業をもってしてようやくセンサーを欺くことができるという話でもあります。

iPhone 5sの指紋認証「TouchID」を突破する方法が判明(GIGAZINE 2013/9/24)

こうした手法はiPhoneの指紋センサーに限らず、今現在市場に出回っているほとんどの指紋センサーに対して有効であるという話であり、また指紋センサーを使ったセキュリティの限界でもあります。

iPhone 5s:「指紋認証ハッキング」は成功したのか(WIRED.jp 2013/9/24)
「偽の指」で認証を突破、iPhone 5sの指紋認証「Touch ID」はどこまで信頼できる(ITpro 2013/9/24)

ハッカーたちが、Touch IDシステムを「ハッキングで破った」と明言するのは難しい。持ち主の指紋を利用せずにセキュリティー手段を回避したわけではないからだ(暴力的なゲーム「グランド・セフト・オートV」で登場しそうな場面のように、iPhoneの持ち主を殴って意識不明にして指をセンサーに押し付けたとしても、Touch IDをパスすることはできるはずだ)。それでも、「持ち主ではない人物が、Touch IDを欺くことに成功した」というCCCの主張は嘘ではない。WIRED.jp
ITproの記事の中では、iPhoneの指紋認証について「本人認証にかかわるユーザービリティとセキュリティのバランスを取るもの」と指摘されています。まさにこの「バランス」をどこでとるかがセキュリティの難しいところかと思います。無駄に高度なセキュリティ機能を搭載しても、それが簡単には使いこなせない複雑怪奇なシステムであっては、結局誰も利用しなくなるからです。

セキュリティの問題はリテラシの問題でもあるわけですが、どんなに装置が高度なセキュリティ機能を提供していても、ユーザーがそのセキュリティを台無しにしてしまう可能性があるという典型的事例が丁度タイミングよく報告されていました。

【注意】 AndroidでiMessageが使える非公式アプリが登場、使うのは止めた方が良さそう(Tools 4 Hack 2013/9/24)

使用するにはもちろんApple IDとパスワードが必要なのですが、iMessage Chatの開発者はこれらを収集することが可能とのこと。
更に、使用時には全データが中国にあるサーバーにて何らかの処理を行われているそうです。もちろん、Appleとは無関係のサーバー。 他にも法律的な問題点もあるのではないかと指摘が出ています。Tools 4 Hack
現時点で上記アプリはすでにGoogle Playからは削除されているようですが、こうしたアプリを使うかどうか判断するのは最終的にユーザーに委ねられています。もしユーザーがこのアプリをインストールして利用すれば、それは悪意のある第三者に対してIDやパスワードを提供することを意味し、自らセキュリティを放棄しているのと同じことになります。結局、セキュリティとは使う側がどう考えて行動するかによって、どんなに立派な機能が用意されていてもその効用が大きく変わってしまうものであり、この辺りがまさにバランスということなんですが、なかなか調整が難しい話でもあります。

まあ、いずれにせよ「この利用している人は、本当に契約者本人なのか?」という問題が完全に解決する日はこないのでありましょう。閉じられた箱があったら開けたくなるのが人間と言うものですし。