ニュース
「Windows Hello」による顔認証、赤外線顔写真で突破される
2017年12月21日 14:39
独セキュリティ企業のSySSは18日(現地時間)、Windows 10に搭載されている生体認証システム「Windows Hello」の顔認証が、印刷写真で突破できるという脆弱性を発表した。
Windows Helloによる顔認証では、近赤外線カメラと、使用されているWindows 10バージョンによっては、RGBカメラのデータも利用されている。
加えて、Windows Helloによる顔認証には、「拡張スプーフィング(なりすまし)対策」機能が用意されており、なりすまし攻撃への対策を強化することが可能となっている。しかし、同機能は既定で無効となっているほか、グループポリシーから明示的に有効にする必要がある。また、Microsoftの2in1「Surface Pro 4」などの対応機種でないと利用できない。
しかし、今回発見された攻撃では、拡張スプーフィング対策機能が有効化されていても通用するという。
攻撃は、SySSの2人のITセキュリティ専門家Matthias Deeg氏とPhilipp Buchegger氏によって発見されたもので、攻撃に必要とされるのは以下の条件を満たした写真だという。
- ユーザーの正面からの顔写真であること
- 近赤外線カメラで撮影した写真であると
- 画像の明るさとコントラストが調整されていること(単純な画像処理としている)
- 上記の画像をレーザープリンタで印刷すること
同社の概念実証試験では、Windows Hello対応のカメラを搭載しないDell「Latitude E7470」ノートPCと、Windows Hello対応のIRカメラ「LilBit USBカメラ」を接続した環境、Microsoft「Surface Pro 4」を利用した環境で、複数のWindows 10バージョンで認証を突破できたという。
| 検証機 | Dell Latitude E7470+LilBit USBカメラ | Microsoft Surface Pro 4 | |
|---|---|---|---|
| 拡張スプーフィング対策 | 無効 | 有効 | 無効 |
| Windows 10 Pro (バージョン1709, OS Build 16299.98) | ○ | × | ○ |
| Windows 10 Pro Fall Creators Update (バージョン1709, OS Build 16299.19) | ○ | 未検証 | 未検証 |
| Windows 10 Pro (バージョン1703, OS Build 15063.726) | ○ | × | ○ |
| Windows 10 Pro Creators Update (バージョン1703, OS Build 15063.674) | ○ | 未検証 | 未検証 |
| Windows 10 Pro (バージョン1703, OS Build 15063.483) | ○ | 未検証 | 未検証 |
| Windows 10 Pro (バージョン1607, OS Build 14393.1914) | ○ | ○ | ○ |
| Windows 10 Pro Anniversary Update(バージョン1607, OS Build 14393.1770) | ○ | ○ | ○ |
| Windows 10 Pro November Update (バージョン1511, OS Build 10586.1232) | ○ | 未検証 | 未検証 |
同社の調査結果によれば、Windows 10の最新Buildである1703、1709は、前述の対応ハードウェアで「拡張スプーフィング対策」機能が有効になっている場合、印刷された顔写真によるスプーフィング攻撃では認証を突破できない。
そのため同社では、Windows Helloの顔認証を利用する場合は、Windows 10をBuild 1709以降の最新版に更新し、拡張スプーフィング対策機能を有効にした上で、Windows Helloの顔認証を再セットアップするよう推奨している。