改造USBデバイスでWindows Hello顔認証をバイパスできる脆弱性

　Microsoftは13日(現地時間)、Windows Helloにおける脆弱性「CVE-2021-34466」の詳細を公開した。

　CVSS v3(共通脆弱性評価システム)による評価スコアは5.7で、深刻度はImportant。同日公開の月例アップデート「KB5004237」にて緩和策を施している。Windows Hello Enhanced Sign-in Securityが有効な場合は影響を受けない。

　標的の赤外線(IR)画像データを撮影し、Webカメラに偽装したUSBデバイスに保管し標的のPCに接続。Windows Hello認証時にシステムに送り込むことで、認証バイパスできてしまうというもの。

　脆弱性を発見したCyberArk Labsの調査チームによれば、パスワードはユーザーのみが知る情報である一方、顔は誰もが得られる情報で、すれ違いざまなど攻撃者もアクセスがしやすい。有効なIRフレームが1つあればバイパスが可能だったとしており、難易度は上がるが、RGB画像からIR画像を生成しても同様の攻撃が行なえるという。