ニュース

「Windows Hello」による顔認証、赤外線顔写真で突破される

 独セキュリティ企業のSySSは18日(現地時間)、Windows 10に搭載されている生体認証システム「Windows Hello」の顔認証が、印刷写真で突破できるという脆弱性を発表した。

 Windows Helloによる顔認証では、近赤外線カメラと、使用されているWindows 10バージョンによっては、RGBカメラのデータも利用されている。

 加えて、Windows Helloによる顔認証には、「拡張スプーフィング(なりすまし)対策」機能が用意されており、なりすまし攻撃への対策を強化することが可能となっている。しかし、同機能は既定で無効となっているほか、グループポリシーから明示的に有効にする必要がある。また、Microsoftの2in1「Surface Pro 4」などの対応機種でないと利用できない。

グループポリシーエディタ

 しかし、今回発見された攻撃では、拡張スプーフィング対策機能が有効化されていても通用するという。

 攻撃は、SySSの2人のITセキュリティ専門家Matthias Deeg氏とPhilipp Buchegger氏によって発見されたもので、攻撃に必要とされるのは以下の条件を満たした写真だという。

  • ユーザーの正面からの顔写真であること
  • 近赤外線カメラで撮影した写真であると
  • 画像の明るさとコントラストが調整されていること(単純な画像処理としている)
  • 上記の画像をレーザープリンタで印刷すること

 同社の概念実証試験では、Windows Hello対応のカメラを搭載しないDell「Latitude E7470」ノートPCと、Windows Hello対応のIRカメラ「LilBit USBカメラ」を接続した環境、Microsoft「Surface Pro 4」を利用した環境で、複数のWindows 10バージョンで認証を突破できたという。

検証機Dell Latitude E7470+LilBit USBカメラMicrosoft Surface Pro 4
拡張スプーフィング対策無効有効無効
Windows 10 Pro (バージョン1709, OS Build 16299.98)×
Windows 10 Pro Fall Creators Update (バージョン1709, OS Build 16299.19)未検証未検証
Windows 10 Pro (バージョン1703, OS Build 15063.726)×
Windows 10 Pro Creators Update (バージョン1703, OS Build 15063.674)未検証未検証
Windows 10 Pro (バージョン1703, OS Build 15063.483)未検証未検証
Windows 10 Pro (バージョン1607, OS Build 14393.1914)
Windows 10 Pro Anniversary Update(バージョン1607, OS Build 14393.1770)
Windows 10 Pro November Update (バージョン1511, OS Build 10586.1232)未検証未検証

 同社の調査結果によれば、Windows 10の最新Buildである1703、1709は、前述の対応ハードウェアで「拡張スプーフィング対策」機能が有効になっている場合、印刷された顔写真によるスプーフィング攻撃では認証を突破できない。

 そのため同社では、Windows Helloの顔認証を利用する場合は、Windows 10をBuild 1709以降の最新版に更新し、拡張スプーフィング対策機能を有効にした上で、Windows Helloの顔認証を再セットアップするよう推奨している。