カスペルスキーは2月2日、スマートフォンの指紋認証機能の危険性について、同社のブログ「Kaspersky Daily」で解説した。
ブログでは、一部のスマートフォンにはセキュリティ上の大きな欠陥があり、登録したユーザーの指紋が安全に管理されていないと指摘している。安全に管理されていない端末を使い続けると、指紋データが外部に流出してサイバー犯罪者の手に渡る恐れがある。2015年には、離れた場所から大量の指紋を盗み出す手口が見つかっている。
これは、端末内の指紋認証機能に不備によるもので、HTC One MaxとSamsung Galaxy S5は一時期、指紋イメージのデータを暗号化して保存せず、さまざまなアプリで読み取ることができるビットマップ画像で保存する仕様となっていた。万が一、ユーザーの端末内にあるビットマップ画像が流出した場合、画像を使って指紋認証を行ってロックを解除できてしまう。この事実が明らかになった後、開発者はすぐにパッチを公開して対策を施した。
また、ARMの要素技術である「ARM TrustZoneテクノロジー」を採用する端末は、指紋イメージを専用の仮想世界に格納することで保護している。メインOSからもアクセスが不可能になり、重要データが流出したり、サードパーティアプリから利用されたりすることはないが、実装モデルによっては問題が発生する可能性があるという。
こうした実装上の不備だけでなく、指紋を盗み出す手口自体も巧妙化しているとのことだ。指紋はパスワードと異なり、他の人と共有したり、教えたりできないと思いがちだが、プロの手に掛かれば、直接接触しなくても簡単に盗むことができる。
例えば、高倍率ズームのレンズを搭載した一眼レフカメラで写真を撮影したり、雑誌に掲載された高解像度の指の写真を悪用したりといった手口がある。パスワードなら万一流出してもすぐに変更することで対策できるが、指紋は"一生もの"のため、同様の対策ができない。メーカーが安全性を保証していても、疑いを持つことが重要だと指摘している。
では、どのようにすれば、安全に指紋センサーを利用できるのか。例えば、スマートフォンを落としたり盗まれたりして他人の手に渡った場合、操作した画面上の痕跡から指紋を搾取される恐れがある。指紋が偽造されてしまうと、指紋認証機能は無力化してしまう。これでは防ぎようがないため、PayPalなどの金融サービスでは指紋認証を使ってはいけないとカスペルスキーは指摘する。
また、登録する指は人差し指や親指はやめたほうがいい。スマートフォンの操作はその2本の指を使うことが多いためで、指紋を採取されて認証を成功できる可能性が高まる。右利きであれば左手の薬指や小指を、左利きであればその反対を使うことを推奨している。そのほか、スマートフォンが盗まれた場合も追跡できる機能やリモートでデータを消去する機能を備えたソフトウェアを利用するように呼びかけている。
