ハッカーが指紋スキャナーを破る 5 つの方法

指紋スキャナーはハッカーに対する優れた防御線ですが、それは突破できないという意味ではありません。指紋スキャンをサポートするデバイスの急増に対応して、ハッカーはこの防御線を突破する技術を改良しています。

ハッカーが指紋スキャナーを「倒す」方法をいくつか紹介します。

ハッカーはどのようにして指紋スキャナを「破壊」できるのでしょうか?

• 1. マスタープリントを使用する
• 2. 安全でない画像の収集
• 3. 偽の指紋の使用
• 4. ソフトウェアの脆弱性の悪用
• 5. 残った指紋を再利用する

1. マスタープリントを使用する

物理的なマルチファンクション キーがあらゆる錠前を開けるのと同じように、マスタープリントも指紋スキャナーをバイパスできます。

ハッカーはマスタープリントを使用して、スキャンが不十分なデバイスにアクセスする可能性があります。信頼性の高いスキャナーはマスタープリントをブロックしますが、性能の悪いスキャナー (携帯電話などに搭載されているもの) はあまり厳密にチェックしない可能性があります。したがって、マスタープリントは、ハッカーが防御力の低いデバイスに侵入するための効果的な方法です。

マスタープリント攻撃を回避する方法

この種の攻撃を回避する最善の方法は、信頼性の高い指紋スキャナーを使用することです。 Masterprint は、精度の低いスキャナーを利用して身元を確認します。

指紋スキャナーを過信する前に、それについて調べてください。理想的には、他人受入率 (FAR) 統計を見つけます。 FAR パーセンテージは、未承認の指紋がシステムにアクセスできる確率です。このパーセンテージが低いほど、使用している指紋スキャナーがマスタープリントを検出する可能性が高くなります。

2. 安全でない画像の収集

ハッカーがあなたの指紋の画像を保持している場合、それはあなたが使用している指紋スキャナに侵入する鍵を彼らが握っていることを意味します。ユーザーはパスワードを変更できますが、指紋は変更できません。指紋は永続的なため、指紋スキャナーを回避しようとするハッカーにとって貴重なツールとなります。

あなたがよほど有名であったり影響力がある人でない限り、ハッカーはあなたが触れたものすべてを簡単に入手して指紋からマスタープリントを作成してしまいます。ハッカーが、生の指紋データが含まれていることを狙って、デバイスやスキャナーをターゲットにする可能性は十分にあります。

スキャナーがあなたを識別するには、指紋の基本的な画像が必要です。セットアップ中に指紋テンプレートをスキャナーに提供すると、画像がメモリーに保存されます。スキャナーは、ユーザーが使用するたびにこの画像を「記憶」し、スキャンされた指の指紋がセットアップ時に提供されたサンプルの指紋と同じであることを確認します。

残念ながら、一部のデバイスまたはスキャナーはこの画像を暗号化せずに保存します。ハッカーがメモリにアクセスできれば、画像を撮影して指紋の詳細を簡単に収集できます。

この攻撃を回避するにはどうすればよいでしょうか?

この種の攻撃を回避するには、使用するデバイスのセキュリティを考慮する必要があります。信頼性の高い指紋スキャナーは画像ファイルを暗号化し、悪者による生体認証情報の取得を防ぎます。

使用している指紋スキャナーを再確認して、指紋イメージが適切に保存されているかどうかを確認します。デバイスに指紋画像が安全に保存されていないことが判明した場合は、すぐに使用を中止する必要があります。ハッカーがコピーできないように、画像ファイルを削除することも検討する必要があります。

3. 偽の指紋の使用

ハッカーが安全でない指紋画像を入手できない場合、代わりに偽の指紋を作成することを選択する可能性があります。このトリックには、ターゲットの指紋テンプレートを取得し、それを再現してスキャナーを破るというものがあります。

数年前、ガーディアン紙は、ハッカーがどのようにしてドイツ国防大臣の指紋を再現したかについて報じました。

ハッカーが収集した指紋を物理的な指紋に変える方法は数多くあります。ワックスまたは木製の手のレプリカを作成し、それを特殊な紙に印刷し、銀の導電性インクを使用してスキャナーで使用します。

この攻撃を回避するにはどうすればよいでしょうか?

残念ながら、これは直接防ぐことができない攻撃です。ハッカーがあなたが使用している指紋スキャナを侵害するつもりであなたの指紋を取得しようとした場合、彼らが偽のモデルを作成するのを阻止することはできません。

この攻撃を阻止する鍵は、そもそも指紋採取を防ぐことです。犯罪者のように常に手袋を着用する必要はありませんが、指紋の詳細が漏洩する可能性がある場所に注意しておくとよいでしょう。最近、機密情報データベースの漏洩が多数報告されているため、検討する価値があります。

指紋の詳細は、信頼できるデバイスおよびサービスにのみ提供してください。安全性の低いサービスでデータベースが侵害され、指紋画像が暗号化されていない場合、ハッカーはこれを利用して、使用している指紋スキャナを攻撃します。

4. ソフトウェアの脆弱性の悪用

一部のパスワード マネージャーでは、指紋スキャンを使用してユーザーを識別します。これはパスワードを安全に保つのに非常に役立ちますが、その有効性はパスワード管理ソフトウェアのセキュリティ レベルにも依存します。プログラムが攻撃に対する防御に効果的でない場合、ハッカーはこの脆弱性を悪用して指紋情報を取得する可能性があります。

この問題は空港のセキュリティの強化と似ています。金属探知機、警備員、カメラがいたるところに設置され、空港の隅々まで監視されています。しかし、長い間忘れられていた、悪者が侵入できる「バックドア」があった場合、そうした追加のセキュリティ対策はすべて無駄になってしまいます。

最近、Gizmodo.com は、指紋認証対応のパスワード マネージャーにハードコードされたパスワード (ソース コード内にあるプレーン テキストのパスワード) がある Lenovo デバイスの脆弱性を報告しました。ハッカーがパスワード マネージャーにアクセスしたい場合は、ハードコードされたパスワードを使用して指紋スキャナーをバイパスし、スキャナーを役に立たなくすることができます。

この攻撃を回避するにはどうすればよいでしょうか?

通常、この種の攻撃を回避する最善の方法は、人気があり、ユーザーからの肯定的なレビューが多い製品を購入することです。例外はありますが（たとえば、前述したように、Lenovo のような大手企業も攻撃されました）。

そのため、評判の良いブランド製のハードウェアのみを使用している場合でも、後で見つかった問題を修正するためにセキュリティ ソフトウェアを常に最新の状態に保つことが重要です。

5. 残った指紋を再利用する

場合によっては、ハッカーが指紋を取得するために高度なテクニックをまったく必要としない場合もあります。前回の指紋スキャンの残り物を使用してセキュリティ層をバイパスするだけです。

物体を使用すると指紋が残りますが、指紋スキャナーも例外ではありません。スキャナーから収集されたサンプルは、ロック解除の指紋サンプルと厳密に一致することが保証されます。この状況は、ドアを開けた後に鍵を鍵に差し忘れたような状態です。

それでも、ハッカーはスキャナーから指紋テンプレートをコピーする必要がない可能性があります。スマートフォンは、指に光を当て、その光がセンサーにどのように反射するかを記録することで指紋を検出します。Threatpost.com は、ハッカーがどのようにしてこのスキャン方法をだまして残りの指紋を受け入れさせたかについて報告しました。

研究者のヤン・ユー氏は、スキャナーに半透明の反射面を配置することで、スマートフォンの指紋スキャナーをだまして残りの指紋スキャンを受け入れさせました。反射面によりスキャナーは指紋の残りが本物の指であると信じ込まされ、電話へのアクセスが可能になります。

この攻撃を回避するにはどうすればよいでしょうか?

このような攻撃を回避する方法は非常に簡単です。指紋をスキャンした後は、デバイスの表面を拭いてください。スキャナーには使用後も指紋が残ります。安全を確保する最善の方法は、指紋をきれいに拭き取ることです。そうすることで、ハッカーがあなたが所有するデバイスをあなたに対して使用するのを防ぐことができます。

指紋スキャナーは便利なツールですが、完全に安全というわけではありません。指紋スキャナーを使用する場合は、必ず安全対策を講じてください。指紋は使用するすべてのスキャナーの鍵となるため、生体認証データには細心の注意を払ってください。

ご自身にとって適切な解決策が見つかることを願っています。