AERA 生体認証は信用できない
こんにちは、丸山満彦です。06.04.03 no.15のアエラに、生体認証の話が載っていますね。横浜国立大学の松本勉教授の人工物で生体認証ができるか実験の話もあります。情報セキュリティ大学院の内田助教授も登場していますね。
松本先生の実験によって、ガラスコップから採取した指紋をもとに作ったシリコーンゴム製人工指で本人確認されてしまうことが実証されているし、大根の繊維で作った人工指で本人登録およびそれを使った本人確認ができることが確認されていますね。
だからといって、直ちにすぐに生体認証が危険にさらされているかというと、必ずしも断言できないわけですが、少なくとも安全といいけれるほどの安全性はないと思ったほうがよいというのが私の感覚です。
次に、内田先生が心配しているのは登録した生体情報が漏洩した場合の話。物理的な特徴に基づく生体情報は本人の意思で変更できないので、それが漏洩した場合、パスワードの漏洩とは異なった問題が生じますね。
●メーカー側
=====
ICカードに入っているのは画像など手のひら静脈そのものの情報ではなく、そこから抽出した特徴点。また、無理やり情報を盗もうとするとICチップが壊れる仕組みにもなっている。生体反応を見ているので、死体の手をつかったりたとえ、生きている人の手を切断して使ったりしても認証しない。ただ、どんな生体反応をみているかは、逆に犯罪を誘発する可能性があるので公表できません。
=====
▼内田先生
=====
ICチップに何が改定あるのかも企業秘密。漏れて大丈夫なものか検証のしようがない。また、メーカーは小型のモジュールを開発して、静脈認証を他の企業や家庭にまで広げようとしている。これを使って静脈情報が盗まれる可能性もある。
(中略)
どんな生体反応をみているか分からないので、犯罪者はいろんな『実験』をするだろう。私はこういった犯罪を防ぐ面からも生体認証をATMのようなところで使うべきでないと思っている。少なくとも、偽指や切り取った手を使われないように、人の目があるところで使うべきだ。
=====
■鷲見京大客員教授
=====
現在の静脈認証が危険だとは思わないが、開発した企業の言うことを信じるしかなく、どのような危険性があるか検証できていない状態。企業秘密があっても、安全と精度を測れる共通テストがあれば客観的に検証できる。第三者機関の設立も含めて検討すべきだ。
=====
このような議論がいつもかみ合わない場合が多いですね。たとえば次のような質問と回答が行われたりします。
=====
Q1:ICカードから生体認証に使われている情報が漏洩したらどうなりますか。
=====
A1:ICカードは耐タンパーカードを使っていて、情報を抜き出そうとするとICカードが壊れる仕組みになっているので大丈夫です。
=====
とか、
=====
Q2:生体反応を確認する仕組みを教えてください。
=====
A2:それは企業秘密だから教えれません。
=====
とか・・・
社会で使うのは専門家ではなく、一般の人なので、一般の人が安心できる材料を提供し、納得してもらえないとね・・・。
技術の優秀さを説明するのではなく、利用者の信頼を得られる説明が必要なんでしょうね。
Comments
実はこの話、私のblog にも書いたのですが(1/16)、USやUKの友人が非常に興味を持ってくれました。この世界の実際の取り組みは、規模的な点からいうと、日本は非常に、まじめに取り組んでいます。性善説の日本でありながら・・・・それに比べて諸外国は・・・・
Posted by: shita | 2006.03.27 17:03
shitaさん、コメントありがとうございます。
これですよね・・・
・2006.01.16 Biometrics in Japan (日本における生体認証)
この分野、結構日本が世界的にも進んでいるのですよね・・・
Posted by: 丸山満彦 | 2006.03.28 02:53