パスワードを忘れた? アカウント作成
62947 story
セキュリティ

Lenovo、Asus、東芝のノートPC顔認証テクノロジー、突破される 30

ストーリー by mtakahas
双子だとどうなるのかしら? 部門より

capra 曰く、

本家/.より。ベトナムの研究チームが、一部のノートPCに搭載されている顔認証テクノロジーを突破することに成功したそうだ。研究者らは、顔認証ログイン機能を搭載したノートPCのカメラに認証されたユーザーの写真を提示。Lenovoの「VeriFace III」、ASUSの「SmartLogon V1.0.0005」、東芝の「Face Recognition 2.0.2.32」、すべての突破に成功したとのこと。また、ユーザーの写真を使わずに、偽造した顔画像でも突破可能だったという。どちらもパスワードでいうところの「総あたり攻撃」を行ったそうだが、デジタル加工した写真でも認証が可能な点が一番の脆弱性であると指摘している。

なお、この結果は、現在米ワシントンDCで行われているBlack Hat DCにて発表されるそうだ。たばこ自販機の顔認証も、当初、雑誌の写真で突破されていた。ノートPCも生体認証を組み合わせたものが主流になっていくのだろうか。

生体認証に関しては、過去、ゼラチンで指紋認証を突破したり(現在では改良されている模様)、静脈認証が大根でも行えたりするという指摘がありました。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • どうせなら (スコア:4, おもしろおかしい)

    by coffeine (14743) on 2009年02月20日 1時51分 (#1517440)

    スリムな頃の姿を登録しとけばダイエットのモチベーションを保てるかも。

  • by Anonymous Coward on 2009年02月20日 8時07分 (#1517521)
    日本人が作るからベトナム人識別ができないのです。
    現地で、ベトナム人にローカライズしてもらえば、
    きっと識別できるに決まってるじゃないですか
  • by Anonymous Coward on 2009年02月19日 22時13分 (#1517285)
    |大根で静脈認証を突破したりという前例
    そんな前例ないし、リンク先も突破したという話ではない。
    • 大根は (スコア:2, 興味深い)

      by Anonymous Coward on 2009年02月19日 23時19分 (#1517333)

      大根は、指のかわりに登録できるという話だったはず。
      登録できるからそれをつかえば鍵は開く。

      残念ながら人間の静脈と同じ形状に大根がなる確率は非常に少ない。
      正規に登録された人間の指の静脈パターンに合致する大根を栽培できるようになるまでは、
      大根で静脈認証を突破したとは言えまい。

      親コメント
    • by Anonymous Coward on 2009年02月20日 10時02分 (#1517583)

      俺もう指静脈認証する指残って無いよという人が居たな

      話を聞いてみると、データ全国で共有してんのに反映されるまでの
      タイムラグより早いペースで全国行脚するハメになって入場できないから
      仕方なしに行った先々で登録していったとのこと

      どうも後から到着するデータと被ると面倒だから別の指で登録し続けたらしい

      その時にじゃあチンチンで登録すれば?
      という冗談が出たけど、通常時と大きくなった時の違いで困るんじゃないかと
      かふと考えた自分に呆れた

      親コメント
    • 編集したものです。おっしゃるとおり「突破」という話ではありませんでしたね、調べが甘くご迷惑をおかけしました。
      てことで、本当に遅ればせながらですが修正いたします。ご指摘ありがとうございました。
      親コメント
  • 対策済み (スコア:2, 参考になる)

    by Anonymous Coward on 2009年02月19日 22時15分 (#1517287)

    ゼラチンで指紋認証を突破したり、大根で静脈認証を突破したりという前例もありました。

    ゼラチンの奴は真皮層の指紋を読み取るということで対策済み。
    大根による指静脈のなりすまし認証も対策がなされたというのを世界一受けたい授業で証明した横浜国立大の松本勉教授本人がおっしゃってましたよ。

    • by Anonymous Coward
      対策済みと言われても認証の機械をアップデート/買い替える企業はいないんじゃないの
      • by delta-keeper (31927) on 2009年02月19日 23時06分 (#1517321) 日記
        多分ほとんどがソレ(笑)

        その前に一般客が銀行でどれほど静脈認証使ってることかw
        ソフトなら出た後でもなんとか改修できるけど、ハードは金掛かるんだろうなぁ・・・
        親コメント
        • by Anonymous Coward

          私は使ってますが、おそらく少数派なんでしょうね。

          しかも振り込め詐欺の場合は、自分で意志で認証するので結局は無意味だという落ち。

      • Re:対策済み (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2009年02月20日 14時33分 (#1517755)
        機械をリプレースするより大根で認証しようとしてる人に話しかけたほうが早いんじゃね?
        親コメント
  • by tarna (10845) on 2009年02月20日 4時40分 (#1517481) 日記
    パスワードを使った
  • 顔認証とパスワード認証、顔認証と指紋認証 といった複合型やる分には少々緩くても大丈夫なんでは。
  • by Anonymous Coward on 2009年02月19日 21時16分 (#1517253)
    きっと可愛い顔に決まってます。
  • by CliffordSakaki (37720) on 2009年02月19日 22時01分 (#1517278)

    >双子だとどうなるのかしら?部門より。

    2時間ドラマのアリバイトリックに使われるでしょう。

  • 脆弱性ではないと思う (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2009年02月20日 11時39分 (#1517644)

    顔認証は、他人を認証させないための技術ではなくて、自身が楽をするための技術じゃないの?
    パスワード入力代行機構とでも言うべき

    仕組みからして容易に突破出来る事はほぼ明白なので、強固な認証として顔認証を採用するような人は居ないと信じたいし
    (もしセキュリティ専門家で居たら、指を刺して笑ってやれ)
    突破出来たと、鬼の首を取ったように発表する物でもない。
    「一応やったけど、そりゃ当然出来ますよね」って程度の扱いで良いと思うんだけど

    まぁ、メーカーを擁護するつもりは無いけどね。売り方(謳い文句)が悪いのも確かだろうし

    でもね、そろそろ「PCを使えるようにする為のプロセス」と「何かを保護するための機構」は別だって認識したり
    すべてのPCに強固な保護が必要というわけではないって考えが一般的になっても良いと思うよ

    # って、それ以前に認証の必要性が一般的に認識されてないか...

  • by Anonymous Coward on 2009年02月20日 14時50分 (#1517764)
    結局入力は画像だしその人の写真撮っておいてかざせば大体通ると思う
    防ぐには
    ・指紋認証などと組み合わせる
    ・トラッキングして認証する
    あたりでしょうか

    カメラの前の画面に斜め右上を見てくださいとかでトラッキングして認証すれば
    単純に写真をかざしただけでってことにはならない気がします
  • by Anonymous Coward on 2009年02月19日 22時21分 (#1517291)

    最近では携帯電話にも採用されているけど、公園でPC操作している人の顔を遠くから撮影して
    それを加工すればなんとかなるんじゃないの、、とか、みてて思ってた。

    もちろんその辺の対策をしてたから今まで破られなかったのだろうけど、合鍵の素は指紋を
    採取するより簡単なんじゃないの?

  • by Anonymous Coward on 2009年02月19日 23時11分 (#1517326)
    いのちく~ん [youtube.com](Youtube)で突破して欲しい。
  • by Anonymous Coward on 2009年02月20日 0時03分 (#1517372)
    ネカマ部門?
  • by Anonymous Coward on 2009年02月20日 9時25分 (#1517552)

    本人でも認証が効かなくなるから、有る程度は仕方無い。
    ってかさ、元々外見(指紋なんかも含めて人間が有る程度外に出していてセンサーで読める、静脈なんかも面倒なだけだな)での認証なんてのは、パスワードの替わりになるもんではなく、どっちかって言うとIDに長ったらしく入力が面倒な文字を使うって事の延長線で使うもんだし。

  • by Anonymous Coward on 2009年02月20日 9時56分 (#1517579)

    カメラ2つあればとりあえず、写真は見破れるんじゃね。
    それぞれに視差を意識した写真を貼り付けられると駄目かな。
    距離も含めて登録しておく。

    あとは赤外線で体温測るとか。

    • by Anonymous Coward
      冷え性の私をとおせんぼするつもりですか!
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...