« 経済産業省・総務省 ネット接続業に認証制、災害対策など審査? | Main | ISACA大阪支部 20周年記念講演会 会計検査院もCOBITを使っている? »

2006.03.27

AERA 生体認証は信用できない

 こんにちは、丸山満彦です。06.04.03 no.15のアエラに、生体認証の話が載っていますね。横浜国立大学の松本勉教授の人工物で生体認証ができるか実験の話もあります。情報セキュリティ大学院の内田助教授も登場していますね。

 


 松本先生の実験によって、ガラスコップから採取した指紋をもとに作ったシリコーンゴム製人工指で本人確認されてしまうことが実証されているし、大根の繊維で作った人工指で本人登録およびそれを使った本人確認ができることが確認されていますね。
 だからといって、直ちにすぐに生体認証が危険にさらされているかというと、必ずしも断言できないわけですが、少なくとも安全といいけれるほどの安全性はないと思ったほうがよいというのが私の感覚です。

 次に、内田先生が心配しているのは登録した生体情報が漏洩した場合の話。物理的な特徴に基づく生体情報は本人の意思で変更できないので、それが漏洩した場合、パスワードの漏洩とは異なった問題が生じますね。

●メーカー側
=====
 ICカードに入っているのは画像など手のひら静脈そのものの情報ではなく、そこから抽出した特徴点。また、無理やり情報を盗もうとするとICチップが壊れる仕組みにもなっている。生体反応を見ているので、死体の手をつかったりたとえ、生きている人の手を切断して使ったりしても認証しない。ただ、どんな生体反応をみているかは、逆に犯罪を誘発する可能性があるので公表できません。
=====

▼内田先生
=====
ICチップに何が改定あるのかも企業秘密。漏れて大丈夫なものか検証のしようがない。また、メーカーは小型のモジュールを開発して、静脈認証を他の企業や家庭にまで広げようとしている。これを使って静脈情報が盗まれる可能性もある。

(中略)

どんな生体反応をみているか分からないので、犯罪者はいろんな『実験』をするだろう。私はこういった犯罪を防ぐ面からも生体認証をATMのようなところで使うべきでないと思っている。少なくとも、偽指や切り取った手を使われないように、人の目があるところで使うべきだ。
=====

■鷲見京大客員教授
=====
現在の静脈認証が危険だとは思わないが、開発した企業の言うことを信じるしかなく、どのような危険性があるか検証できていない状態。企業秘密があっても、安全と精度を測れる共通テストがあれば客観的に検証できる。第三者機関の設立も含めて検討すべきだ。
=====

 このような議論がいつもかみ合わない場合が多いですね。たとえば次のような質問と回答が行われたりします。

=====
Q1:ICカードから生体認証に使われている情報が漏洩したらどうなりますか。
=====
A1:ICカードは耐タンパーカードを使っていて、情報を抜き出そうとするとICカードが壊れる仕組みになっているので大丈夫です。
=====

 とか、

=====
Q2:生体反応を確認する仕組みを教えてください。
=====
A2:それは企業秘密だから教えれません。
=====

 とか・・・

社会で使うのは専門家ではなく、一般の人なので、一般の人が安心できる材料を提供し、納得してもらえないとね・・・。
技術の優秀さを説明するのではなく、利用者の信頼を得られる説明が必要なんでしょうね。

|

« 経済産業省・総務省 ネット接続業に認証制、災害対策など審査? | Main | ISACA大阪支部 20周年記念講演会 会計検査院もCOBITを使っている? »

Comments

実はこの話、私のblog にも書いたのですが(1/16)、USやUKの友人が非常に興味を持ってくれました。この世界の実際の取り組みは、規模的な点からいうと、日本は非常に、まじめに取り組んでいます。性善説の日本でありながら・・・・それに比べて諸外国は・・・・

Posted by: shita | 2006.03.27 at 17:03

shitaさん、コメントありがとうございます。

これですよね・・・
・2006.01.16 Biometrics in Japan (日本における生体認証)

この分野、結構日本が世界的にも進んでいるのですよね・・・

Posted by: 丸山満彦 | 2006.03.28 at 02:53

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/9279270

Listed below are links to weblogs that reference AERA 生体認証は信用できない:

» 指紋認証は破られる [老いぼれSEのサイト運営BLOG]
最近のノートパソコンに指紋認証という機能がついているものがある。 また銀行なので生態認証なるものも導入されている。以下のブログに面白い記事があったので是非参考に見て欲しい。 シリコンや大根の繊維で作った人口指で複製できると聞くと怖いですね。 AERA 生体認証は信用できない... [Read More]

Tracked on 2006.03.27 at 12:34

» 指紋認証は破られる [老いぼれSEのWeb奮戦記]
最近のノートパソコンに指紋認証という機能がついているものがある。 また銀行なので生態認証なるものも導入されている。以下のブログに面白い記事があったので是非参考に見て欲しい。 シリコンや大根の繊維で作った人口指で複製できると聞くと怖いですね。 AERA 生体認証は信用できない... [Read More]

Tracked on 2006.07.02 at 13:30

« 経済産業省・総務省 ネット接続業に認証制、災害対策など審査? | Main | ISACA大阪支部 20周年記念講演会 会計検査院もCOBITを使っている? »