盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案

　国立大学法人筑波大学 システム情報系 知能機能工学域 善甫啓一助教らの研究チームは15日、歪み画像を用いたパスワードシステム「EYEDi(Estimating Your Encodable Distorted images)」を考案したとし、入力時に盗み見をされても問題ない認証システムとして提案した。

　個人認証システムは大きく、金属やICカードキーといった「何を持っているか」、文字列や画像など「何を知っているか」、指紋や虹彩など「何者であるか」による、3種類の認証方法に分けられる。このうち「何者であるか」は、ユーザーの生体情報に基づくため、漏洩と複製のリスクを考えると安易に使うのは困難、「何を持っているか」は容易に紛失/複製できてしまうため、「何を知っているか」に基づく認証が幅広く使われている。

　しかし、パスワードは複雑にすればするほど記憶しておくことが困難であり、画像は盗み見のリスクに対して弱い。画像による認証に関しては、盗み見を防止するために覚えにくい画像を用いる個人認証システムがいくつか提案されているものの、画面の録画による攻撃を防ぐことは困難だった。

　そこでEYEDiでは、ユーザーが用意した画像に画像処理フィルタを適用し、歪んだ画像を生成する。ユーザーは記憶に基づいて、多くの歪んた画像から、自分が用意した画像を選択することで個人認証を行なう。

元画像から歪み画像を生成

　歪み画像は元に戻せない上に、歪み強度も調整可能なため、元画像を知っている正規ユーザーのみが判別できる。また、1つの画像から何通りもの歪み画像を生成できるため、フィルタ強度を適切に調節することで、例え録画されても解読される心配はないという。

　実際にシステムの有効性を検証するため、IT機器の操作に慣れている学生など20人が攻撃者となって、肩越し撮影、カメラ録画、スクリーン録画といった3種類の攻撃を、既存の手法とEYEDi手法でそれぞれ300回行ない、3種類の攻撃の分類誤り率を比べたところ、EYEDiの方が正規ユーザーと攻撃者を正しく認識することが分かったという。

カメラで認証シーンを録画しても分かりにくい

　特に深刻な脅威モデルであるスクリーン録画について、既存手法では完全に突破されたのに対し、EYEDiでは10%程度の分類誤り率で攻撃を防げたという。また、攻撃者がログインするために要した時間も増加したため、効果的に攻撃者を排除できるという。

　チームでは、今後はEYEDiのマルチモーダル化や、ユーザー認証にかかる時間の短縮など、より使い勝手の良いシステムの開発に取り組むとしている。