ものの15分で指紋を複製し、他人のスマホにアクセス

　画像投稿サイトimgurにとある投稿者が、ものの15分で指紋を複製し、スマートフォンの指紋認証でログインできたという実証結果を投稿し、その脆弱性に警鐘を鳴らしている。

I attempted to fool the new Samsung Galaxy S10's ultrasonic fingerprint scanner by using 3d printing. I succeeded.

　今回、セキュリティリスクがあるとしてハッキングの対象になったのはSamsungのGalaxy S10。同製品は超音波を使った指紋認証センサーを搭載している。この指紋認証センサーでは、3Dプリンタで複製した指紋を、本物の指と区別できず、模造指紋でも認証を通してしまうのだという。

　投稿者が描くシナリオはこうだ。狙っているユーザーがGalaxy S10を机の上に放置したとする。当然、このスマートフォンのディスプレイにはユーザーの指紋がばっちり残っている。これをカメラで撮影、Photoshopでコントラストを上げ、アルファマスクを生成。

　続いて、このデータを3ds Max用にエクスポートし、ジオメトリディスプレイスメントを生成し、指紋の高低差を作る。このデータから、3Dプリンタで指紋をリモート印刷し、これを使ってスマートフォンにアクセスする。

　投稿者は自分の指紋で試したが、3回目の複製でアクセスに成功したという(最初の複製では、指紋を左右逆転させるのを忘れていた)。現場近くに3Dプリンタがあるという前提こそあるものの、3Dプリントにかかった時間は13分で、うまくやれば15分で全工程を完了できるという。これだけ短時間であれば、スマートフォンを盗むことなく、本人が気づかないうちに、アクセスし、情報を盗んだり、勝手に商品の購入や、送金などもできるだろう。

　あるいは、レストランなどで、狙った相手がワイングラスにつけた指紋を遠くから望遠カメラで撮影し、3Dプリントしておき、後日、その模造指紋でスマートフォンにアクセスといったこともできる。

　投稿者が使った3Dプリンタは、光造形式のAnyCubic Photonで、指紋を複製するのに十分な解像度を持つが、日本でも6万円程度で売られている。

　指紋認証は便利だが、セキュリティの観点で過信せず、容易に他人が端末に触れられないよう気を配るといった対策も必要だろう。