生体ハイジャック
サイバーセキュリティにおける生体ハイジャック(Bio-hijack)とは、認証手段の一つである生体認証に対し、生体情報を正規に登録された人物(本人)以外の攻撃者が本人になりすまして正規アカウントを乗っ取る攻撃手法である。生体ハイジャックは主にスマートフォンに搭載されている生体認証のシステムとしての脆弱性を悪用して生体認証を乗っ取る。この脆弱性はハッキングのスキルがなくても容易に生体認証を乗っ取ることが可能であり、銀行アプリや決済アプリを本人になりすまして操作されることにより短時間に高額な金銭被害を被る事件が米国で多数報告[1]されている。
概要
[編集]インターネットや企業内ネットワークなどへの接続するユーザーを識別し、許可された正規のユーザーであることを確認する認証手段はサイバー攻撃を防ぐためには重要な技術である。認証の要素とは、「知識情報」、「所持情報」、「生体情報」の3つに分類されることが多く、これらの要素を複数組み合わせた認証手段は「多要素認証」と呼ばれる。
従来、認証手段としては「記憶情報」を使うID・パスワード方式が一般的であったが、フィッシング攻撃によってID・パスワードが盗まれることによる被害が急増して問題となっている。
ハードウェアトークンやスマートフォンの認証アプリなどの「所持情報」については盗難・紛失のリスクはあるもののフィッシング対策に有効であるとされてきたが、中間者攻撃などの新しい攻撃手法によって防御が難しくなっている。
「生体情報」は指紋や虹彩、静脈、顔、音声等の人間の身体的特徴の情報を用いて個人を特定することが可能である。生体認証を行うためには専用の機器が必要となり、システムによっては認証が確実ではない場合もあったが、現在ではスマートフォンに画面ロック解除用として指紋認証や顔認証等の生体認証を搭載した機種が増えており、認証精度も向上している。
スマートフォンに搭載されている生体認証は、登録された指紋情報や顔情報から認証用の特徴点データを抽出し、セキュリティの高いチップに安全に保管され、生体情報をハッキングなどで盗むことや改ざんすることも難しく、他人を誤認識する確率も十分低く安全であると広く考えられている。
しかしながら、スマートフォンに搭載されている生体認証はスマートフォンを所持する所有者が生体情報を登録することが前提で設計されており、iPhoneの場合であればパスコードを知っていれば誰でも生体情報の登録・追加・削除が可能である。Androidでも同様である。このように生体認証で本人と認証するための生体情報の登録・追加・削除がパスコードだけで誰でも可能になってしまうシステムでは生体認証の乗っ取りが容易に出来てしまい、サイバーセキュリティにおけるゼロトラスト的な観点で考えると致命的な脆弱性といえる。
この脆弱性を悪用した生体ハイジャックは既に犯罪に使われており、ウォール・ストリート・ジャーナルで犯人が犯行の手口を説明した動画が2023年12月20日に公開[2]している。この動画で犯人は盗んだiPhoneとそのパスコードを用いてFace IDに犯人の顔を登録することにより、Apple Payなどの決済アプリが犯人の顔で使用可能になり、本人になりすまして高額な商品を購入できたと語っていた。
対策
[編集]上記事件ではパスコードを犯人に知られなければ生体ハイジャックされる可能性は低い。しかしながら、パスコード自体は画面ロック解除のために他人が盗み見れる場所で入力を行う必要がある。また犯人側は様々な手でパスコードを入力させたり、聞き出そうとする。フィッシング詐欺対策としてID・パスワードを他人に知られないように周知活動をしているのと同じようにパスコードを知られた場合のリスクを周知させる必要がある。
iPhoneやAndroid対応の一部銀行アプリは生体情報を追加登録した場合に生体認証のログイン設定を解除しており、アプリ側で「生体ハイジャック」を防止するための対策を取れる余地があると考えられる。アプリ開発者に対し「生体ハイジャック」のリスクについて周知・情報共有が必要である。生体認証を使っているからと盲目的にアプリが安全であるかのように宣伝することも問題である。
AppleはiOS 17.3ベータ版で、Stolen Device Protection機能を搭載した[3]。この機能は生体情報の追加登録の際に生体認証を要求するなどの「生体ハイジャック」防止のための機能である。Stolen Device Protection機能で「生体ハイジャック」を完全に防げるかどうかは正式リリース後の評価を待つ必要があるが、デフォルトではStolen Device Protection機能がオフになっており、手動で設定する必要がある。iOSアップデート対象でない古いiPhoneは使用できないし、Androidでは対応する機能の搭載予定の発表はない。
脚注
[編集]- ^ “Criminals Are Using iPhone Passcodes to Take Over Phones in Minutes” (英語). The Wall Street Journal. (2023年2月28日) 2024年1月22日閲覧。
- ^ Joanna Stern (2023年12月23日). “An iPhone Thief Explains How He Steals Your Passcode and Bank Account” (英語). The Wall Street Journal 2024年1月22日閲覧。
- ^ Joanna Stern; Nicole Nguyen (2023年12月12日). “Apple Makes Security Changes to Protect Users From iPhone Thefts” (英語). The Wall Street Journal 2024年1月22日閲覧。