iPhoneのTouchIDのような指紋リーダーは、デバイスのセキュリティを強化しつつ、ロック解除のプロセスを容易にするために存在します。ニューヨーク大学とミシガン州立大学のコンピューター科学者たちは、このセキュリティ上の利点を覆すべく準備を進めています。どんな鍵でも開けられるマスターキーのように、研究者たちは様々な指紋の一部を模倣し、仮にデバイスにハッキングできるデジタル「マスタープリント」を開発しました。
研究者たちは、「1234」のような一般的な4桁のセキュリティコードに相当する指紋が存在するのではないかと考えました。デジタルデータベースの分析結果によると、マスター指紋はランダムな指紋を26~65%の確率で模倣できることが分かりました。なぜこれほど大きな差があるのか?それは指紋データベースの規模によって決まります。指紋センサーシステムに登録されている部分的な指紋が多いほど、マスター指紋でロックを解除できる可能性が高くなるからです。
そこにはいくつかのセキュリティ上の問題があります。まず、スマートフォンの指紋センサーは通常小さく、次に、ユーザーは複数の指を登録できます。さらに、スマートフォンは通常、指紋でロックを解除するのに複数回の試行を要求します。
「センサーは小さく、指紋全体を捉えることはできない」と、ニューヨーク大学タンドン工学部のコンピューター科学者で、この研究論文の著者の一人であるナシル・メモン氏は言う。
スマートフォンの指紋センサーは複数の指を認識するように学習できるため、システムは多くの部分的な指紋を学習します。指をセンサーに置いたとき、システムはそれがどの指なのか、どのように指を置いているのかを実際には認識していません。
「ですから、どれか一つでも一致すれば、『はい、あなたです』と表示されます」と彼は言います。
メモン氏とその同僚たちは、800個の指紋のデジタルデータベースを分析し、同じデータベースから数千個の部分指紋を抽出しました。彼らは疑問に思いました。他の指紋と高い確率で一致する部分指紋はあるのでしょうか?「驚きました」と彼は言います。「15%程度の確率で一致する指紋もありました。」
この実験はコンピューターベースで行われたため、研究者たちは実際にマスター指紋を使って携帯電話を騙そうとしたわけではないことは特筆に値します。この結果は理論的なものであり、ある著名な生体認証研究者は懐疑的な見方を示しています。
ミシガン州立大学生体認証研究グループの責任者で、この研究には関わっていないアニル・ジェイン氏によると、研究者らは指紋の「特徴点」と呼ばれる要素に基づいて指紋を分析するシステムを使用したという。
指をよく見ると、隆起と谷の線が見えます。隆起は場所によって分岐したり、二股に分かれたりします。また、隆起が途切れている場所もあります。こうした隆起の分岐や終点を、生体認証の専門家は「特徴点」と呼んでいます。
ジェイン氏によると、AppleやSamsungが使用する指紋センサーは、指紋の識別にこうした細かい点を利用していないという。例えばiPhoneのTouchIDセンサーは、指紋の「テクスチャパターン」を利用しているという。
それでも、この研究の共著者であるミシガン州立大学のコンピュータサイエンス・エンジニアリング教授、アラン・ロス氏は、研究結果の妥当性を支持している。システムの脆弱性は依然として残っている。指紋センサーが小型化するにつれて、「私の指紋があなたの指紋と一致する確率は、全体ではなく、一部が増加する」とロス氏は述べている。
