パスワードを忘れた? アカウント作成
9581 story

生体認証を使うキャッシュカードが2陣営に 176

ストーリー by Oliver
手をかざして貯金を召喚 部門より

maia曰く、"生体認証を使うキャッシュカードが2陣営に分かれそうだ。まず富士通の開発した「手のひら静脈認証」だが、スルガ銀行バイオメトリクス認証専用預金を導入している。東京三菱銀行スーパーICカードで展開中であり、経営統合するUFJも採用する方向と思われる。一方、みずほ銀行は、人差し指の静脈を使う方式を研究中で、郵貯・三井住友銀行と共同開発を目指すことにした。開発費負担に加え、互換性が重要との判断だ(読売新聞の記事)。手のひら方式も、人差し指方式も静脈認証であり、非接触なのだが、ATMでの使い勝手はそれなりに異なることになる。さて今後の展開や如何に。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by maia (16220) on 2005年01月30日 18時43分 (#686382) 日記
    手をかざすのが、なんだかかっちょいい、という気もするが、それはさておき、手のひらの方が面積があり、汚れや欠損に対しても冗長性が高くて有利と思う。富士通の開発陣の説明 [fujitsu.com]にはこうある。

    ・指先は汚れや外傷、湿度による変化など環境による影響を受けやすく...
    ・とくに手のひらは、指先より血管本数が多く、体毛や色素による影響もほとんどありません。
    ・両手登録してもかまいません。

    両手登録可や欠損耐性に対抗するには、指認証は十指全部登録すればいいような気もするが、ともあれ理論的には手のひらの方が有利なのは否めない気がする。動作もそれほど不自然ではなく、どこか宗教的(つまり伝統的)ですらある。

    となると、理論的には不利であっても、指認証でも実用上は「足りる」(と指認証陣営は考えているはず)のかどうかが、ポイントになるんだろう。

    ...と言いたいところだけど、これはVHS対ベータや、HD DVD対ブルーレイの対立に似て、政治力とか手腕で決まる情勢なのが、何だかなあというところ。
    • by Anonymous Coward on 2005年01月30日 19時24分 (#686406)
      指さきが当てにならないのなら
      指紋認証の F901iC [nttdocomo.co.jp]も
      ぜひ手のひら静脈認証に.>富士通殿

      # 富士通のメインバンクかつ重要顧客のみずほ銀行が日立の指先認証採用だしなぁ.
      # そこらへんが手のひら認証の先行きにちと不安に感じるところです..
      >・指先は汚れや外傷、湿度による変化など環境による影響を受けやすく...
      >・とくに手のひらは、指先より血管本数が多く、体毛や色素による影響もほとんどありません。
      >・両手登録してもかまいません。
      親コメント
  • 信頼性は? (スコア:2, 興味深い)

    by saitoh (10803) on 2005年01月30日 18時31分 (#686376)
    知人の勤め先のサーバ室が手のひらの静脈認証なのだが、本人が手を入れてもrejectされることが多くて困るといっていた。 今回の製品は誤認識率(誤accept率と誤reject率)はどうなんでしょうね。寒さで手がかじかんで血管が収縮していたりしても大丈夫かしら?
  • [oki.com]も有効的だと思うのだが。

    特許が今年で切れる [tdk.co.jp]から、価格下がって期待できると思うけど。
    でも、東三の選択理由が良く判るような気がする。

    #今は街金だけってのもなぁ
    --

    /* Kachou Utumi
    I'm Not Rich... */
    • 紹介されている理由と重なりますが、BTMの見解としては、以下のような発言があります。
      東京三菱銀行玉井常務執行役員曰く、 「どの方式かというお話でご参考までにお話申し上げておきますと、私どもはいくつかの方式を比較検討いたしました。例えば金融機関として使えない方式が1つあります。それは何かというと目の虹彩でございます。一見虹彩は良いのですけれども、ATMにお客様がお立ちになって、お客様の身長が180センチもいらっしゃれば150センチもいらっしゃるので、これを実取引に使おうというのは無理なんですね。カメラをずっと上げたり下げたりする間、お客様にじっと立っていてくださいというわけにはまいりませんので、こういうものは実用性という観点からドロップいたしまして、絞り込んできた結果、指紋と指の静脈と今回の手のひらの静脈、3つに絞り込みました。この3つは金融取引で実用化できると考えました。」
      第15回金融審議会金融分科会特別部会議事録 [fsa.go.jp]
      これに対しては、「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針(案)」への意見一覧 [fsa.go.jp]の44番のような意見が出されています。
      --
      written by こうふう
      親コメント
    • by Anonymous Coward on 2005年01月30日 22時40分 (#686462)
      ATMで瞳は普及しないと思うな
      メガネを掛けていると外す必要がある。
      機器と近接させる必要がある。
      今の機器は本体が奥で、画面がとタッチパネルが手前の構造ですから
      デザイン含めて相当いじる必要があります。

      指紋の場合本体脇にに孔を空けて認証用のハードを裏からネジ止めし
      ATMのソフトをいじるれば改修可能だ。

      対応を考えるなら回収費用含めたトータルで考えないとね。

      #中の人に質問、認証用の比較データって何処にあるのですか?
      #取りこんだデータをセンターへ送信して認証させるのか
      #ICカード内に記録させたデータと認証させるのか?
      #ICカードに記録させた場合、解析されて認証データを書き換えて
      #本人に成りすますハードを開発されないとも限らない
      #センターに送信する場合膨大なトラフィックが生じる可能性がある。
      親コメント
  • by NaO (2854) on 2005年01月30日 17時37分 (#686354)
    最近マイクロソフトが指紋認証機器を出しましたが、ログオンには使えないものでした。ソフト上では簡単な話だと思うので、やはりグミの指なんかが使われるのが問題と考えているのでしょうか。
    静脈認証は赤外線で指や手の中の血管のパターンを認識するものだと思いますが、これも赤外線カメラなんかで撮影した血管のパターンをプリントして、手の代わりにかざしたらパスしてしまうような気もします。
    研究中でもいいのですけれど、何かこれだったら確実に認証できるといったようなものは無いのでしょうか。
    GATACAみたいに毎日血液からDNAチェック?
    • by cloudy (1160) on 2005年01月30日 17時55分 (#686358)
      生体認証の問題点: 一日に降ろせる金額の上限を設定できるようにした三井住友の方が現実的だと思います(もっともその三井住友、キャッシュカードと預金通帳の両方を盗まれると上限なしになる、というのはひどいです。通帳を入れても上限有効にしてほしい)。
      親コメント
      • 三井住友(One's Next)の場合、通帳を作らない事もできます。
        ネット上で管理すると、不便も感じません。

        ただたまに、通帳が必要になるので、通帳を作ってもらいに
        行かなくてはいけませんが。
        --
        romfffromのコメント設定
        AC-2、プラスモデ+3、閾値0、スコアを表示しない(推奨)、高い評価のコメントを親にする
        親コメント
        • by Anonymous Coward on 2005年01月31日 0時27分 (#686494)
          ウチの親は以下のように管理。

          クレジットカードなどの支払い口座は、1ヶ月に必要な分
          しか入れておかない。旅行などの前だけ、額を増やしておく。
          多額な口座のキャッシュカードは作らない。
          通帳は貸金庫に。
          貸金庫は手書きのサインを必要とする形式で出入りするので、行員
          と顏をなるべく合わせるようにしている。

          そういう親の子である自分はこういう事件を聞くたびに、ポケット
          の中に数千万を管理するカードを入れてる人たちの気持ちがわかりません。
          自己管理以前にさまざまな既存システムへの過信のような気がして
          ならないからです。
          親コメント
      • by Anonymous Coward on 2005年01月30日 22時13分 (#686449)
        > パスワードと違い、一度盗まれてしまうと交換することができない
        これが一番重要な特徴なんだが、判ってない人多いんだよな。一生涯変えることが出来ないという点では、パスワードではなくてユーザーIDなんだよ。例えばカードとバイオメトリクスを組み合わせて認証すると言うのは、二つのユーザーIDで認証するようなもんなんだよね。本当はバイオメトリクス認証とパスワードを組み合わせるといった使い方が正しい。

        #と言うわけで、いっそカードレスにならないもんか・・・
        親コメント
        • Re:バイオメトリクス (スコア:3, すばらしい洞察)

          暗証番号は物理媒体ではないので、盗まれたことに気がつかない(生年月日や電話番号などから類推されることもある)上にコピーも容易。
          生体情報は物理媒体を盗むことはかなり難しく、情報を抜き出したとしてもコピーを作ることが難しい。
          ICカードは物理媒体をコピーすることは(今のところ)難しく、カード←→ホスト間でやりとりされている情報を抜き出しても意味が無い。

          ICカードそのものを盗まれた場合はカードを無効にして新たなカードを発行することは出来る。
          # 磁気キャッシュカードでも新しいカードをATMに通せば古いカードは無効になる。

          盗難につながりにくいもの2つを組み合わせるのは当然ではないか。

          ついでに言うなら、暗証番号だって本人認証の一手段に過ぎないのだから、別に生体情報認証で取って代わっても不思議ではあるまい。
          --
          マラソンで二位を抜いたら何位?
          親コメント
        • by Anonymous Coward on 2005年01月30日 23時49分 (#686484)
          つまり指紋認証とピアノを組み合わせて、本人が正しく演奏しないとロックがはずれないようにすると…
          親コメント
      • 影武者 (スコア:2, すばらしい洞察)

        by LethocerusDeyrollei (25722) on 2005年01月31日 6時44分 (#686535)
         取り替えが効かないに関連して
         逆に、偶然一致する確率ってどれくらいなんでしょ。
         先に登録した大口顧客と区別できないパターンを持っているという理由(もちろん本人には理由非開示)で
        登録拒否なんていうことが合ったりして。

         大金持ちに顔ではなく血管が似ている人間が、本人の死後、
        相続税対策が終わるまで影武者として振る舞うような日が来るのだろうか。
        親コメント
      • by typer (9666) on 2005年01月30日 19時03分 (#686394) 日記
        生体認証の良いところ:
        • 簡単に渡せない、メモれない
        キャッシュカードには当てはまらないですけど、PCの場合、パスワードを書いたメモをディスプレィに張ったり、聞かれたらほいほい教えたりできなくなるって点は良いかも知れません。
        親コメント
    • by whelp (25685) on 2005年01月30日 23時04分 (#686471)
      半年ほど前に、生体認証で他人のフリは簡単だという記事を読んだことがあります。
      記事内でも触れられていましたが、認証機器を騙す手法に関しては、横浜国立大学情報セキュリティー学の松本勉教授率いる松本勉研究室 [ynu.ac.jp]の研究などが参考になります。

      静脈認証技術ですと、日立エンジニアリングの指静脈入退管理システム [hitachi-hec.co.jp]などのようなものがあるようですが、NaOさんが述べられているように
      > 赤外線カメラなんかで撮影した血管のパターンをプリントして、手の代わりにかざしたらパスしてしまうような気もします
      という不安面も否めないと思います。

      如何なる認証も完璧ではないと思います。単体の認証ではなく、全く違う認証方法を複数個組み合わせる手法が必要なのかもしれませんね。
      親コメント
      • by NaO (2854) on 2005年01月31日 12時14分 (#686614)
        私が「手の代わりにかざしたらパスしてしまうような気もします」と書いたのは、指紋に比べて安心感のあった虹彩認証 [nifty.com]がこんな簡単にパス [yomiuri.co.jp]されちゃうのを知ったからです。ちょっと衝撃があったなぁ。それで単に静脈パターンをレーザープリンタでプリントした紙でいけちゃうのではないか(カーボンが赤外線を吸収して赤外線カメラでは黒く見えるのではないか)…なんて思ったわけです。まさかそんな簡単にいくとは思ってないですけどね。作業の手間はともかく、もし騙す方法が作られちゃえば代えるものが無いですし。関係ないけど衝撃的といえば高性能Uロックはボールペンで開けられる! [big.or.jp]もびっくりだった。

        静脈や虹彩は指紋と違って跡が残らないとので、コップに残った指紋からグミの指を作られるなんてことは簡単には無さそうで、その分はまあ安心かなぁなんて思ったり。静脈や虹彩を撮影されるなんて特殊な状況なら、やられてるほうも分かるでしょう。この認証が世間で一般的に使われる様になったら、クレジットカードのスキミングみたいなことも問題になるかもしれませんが。怪しげな店で認証したデータが流出して…とか。

        認証を組み合わせるとすれば、時間方向で変化があるかどうか?で、写真じゃなく生体なのか?を認識できればいいかなあなんて妄想したりも。虹彩なら瞳孔反射があるか(先のURLによると実際にやってるものもあるそうで)、静脈なら体温と脈動があるか?を同時にチェックするとかね。死体の手なんかだと生きてないことがばれてダメだとか。でも手のひらに写真を貼り付けたり、瞳孔の分だけ丸く穴を開けた写真で生体と認識されてしまうだけかも…。

        昔筆跡をチェックする認証?機器がありましたが(どこ行っちゃったんでしょう。もう普通に使われてるのかな?)、あれは時間方向の筆圧変化も検知してるとかで。サインの形状だけじゃなく動的に変化する成分の特徴を真似て機器を騙すのは中々難しいだろうと思いました。で、動的に変化して、なおかつ個人特有のパターンがあるもの…と考えたのですが何も思いつきませんでした。

        あと数年もすれば、生体認証機器は公的機関で既知のクラック方法を(グミの指とか撮影した虹彩とか)を試して、それで騙せないというお墨付きが必要になってくるかもしれません。騙せた数でレベルを付けるとか。業界でも生体認証機器の検査機関を作る動きってのは当然あるのでしょうけれど(既にあったりしたらごめんなさい)。今はメーカーの出してくる数字や言葉を信じるしか無いですから。
        親コメント
        • by raijin (7091) on 2005年01月31日 12時42分 (#686632)
          んー

          別に指紋認証用の赤外線以外にも、波長の違う光をいくつか
          あてて、本当に指かどうかスキャンすればいいと思うのは
          私だけでしょうか。
          殆どの場合、既存の技術で対応可能だし。
          また、カメラで撮ってなにか持って/被せていないか一瞬で判別可能
          ですよ。(工場ラインなどでの不良品判別システムを使えば)

          大体、日本の銀行はエンボス以外にもカード表面写真を撮影して
          いるくせに、なんでそれをリアルタイムカード認証とかに使わない
          のでしょうか?自分達の責任回避の投資は怠りませんよね。
          親コメント
      • by Anonymous Coward on 2005年01月31日 0時14分 (#686490)
        フェイスって映画で、犯人と刑事が顔を入れ換えてたけど、映画では奥さんと自分しか知り得ない事実を話して自分が旦那であることを証明してましたね。もし奥さんが、旦那との間に生じた出来事の一部始終を他人に話すような人だったら証明にはならなかったということで、認証って認証する人とされる人の間に、お互いのみが知り得る事実が存在しなければ成立しないんじゃないかな。 クローン技術が完成するとバイオメトリクス認証自体が完全に否定される。そうなると、自分が自分であることの証明ってどうやったらできるんだろ? お互いのみが知り得る事実でお互いは確認できても、それを他人に証明することはできない。 あ゛ぁぁぁぁ、意外と認証って難しいぃぃぃぃ!
        親コメント
        • なるほど、たしかに。参考になります。
          開き直って、そういった認証がいらない世の中に・・・はなりそうもないですが。
          親コメント
        • クローン技術が完成するとバイオメトリクス認証自体が完全に否定される

          そうとは言えません。というのは、生体の様々な特徴は遺伝情報だけで決まるわけではないからです。胎内での発生過程や出生後の成長過程で変化し、双子やクローン間でも異なるものになる特徴があります。というか、この静脈パターン自体がそういうものだと記憶していますが。

          「静脈パターン クローン」などのキーワードでググってみてください。

          親コメント
    • by Yggdra (14017) on 2005年01月30日 18時03分 (#686362)
      Windows だけならログオンも行けるみたいですよ<MS Fingerprint Reader
      http://www.itmedia.co.jp/pcupdate/articles/0501/20/news096.html [itmedia.co.jp]

      Windows ドメインへのログオンはダメ [microsoft.com]、という制限はあるようだけど。

      (UNIX 系だとどうなのかなあ。MSのページには「指紋リーダーは、セキュリティを強化するための機能ではありません」と書いてあるし、cloudy さんの言にあるように鍵を変えられないという根本的な問題点もあるから、サーバ前提の UNIX 系OSでは使うな、ということなのかもしれないけど)
      親コメント
  • みずほ銀行のシステムって、富士通が組んでいるはず。

    普通に考えると、みずほ銀行も富士通式とになりそうなんですが、何で別に開発するんだろう。

    # 「それはそれ、これはこれ」なのかなぁ。
    --
    なんちゃってプログラマ?
    • んー。MHBKで富士通が絡んでるのは勘定系の話で、情報系やインターネットバンキング周りはIBMだし、ATMは富士通とOKIと日立が混在してますね(新しく入ってるのは富士通のFACTが多いけど新型の記帳機なんかは日立だし)。BTMも勘定系はIBMだけど、営業店系のサーバなんかは富士通がからんでるし、ATMは日立が多かったような

      そもそも、銀行のシステム開発は原則的に大手銀行だと、銀行のシステム子会社(みずほだとみずほ情報総研とか、BTMだとTMIT、SMBCだとJRI)が仕切ってて、その下で勘定系とか情報系といったシステムごとにいろいろな会社が絡むって方式になります。だから、経営統合のときに同じメーカーのメインフレーム使っていても、システムの仕様は同じではないので、統合にものすごい労力がかかるというのはその辺の理由です
      親コメント
  • 単に (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2005年01月30日 19時41分 (#686411)
    血管の脈伯を見て「ドキドキ」しているかどうかだけで判断してたりして。

    #意外と正誤判断が正確だったり。
  • by Anonymous Coward on 2005年01月31日 1時30分 (#686508)
    なして4桁なの?
  • by Anonymous Coward on 2005年01月31日 2時28分 (#686520)
    第三次オンライン(で良かったのかな?)以前の状態に戻るなんて事は無いのでしょうか?
    手数料がかかるから云々の話は抜きにして、ATMさえ有ればどの銀行でも引き落としが出来る便利さは否めないわけで。

    手のひら静脈認証系の銀行口座を開設してあったとして、人差し指の静脈で認証する系列のATMからの引き落としが出来ないとか・・・
    コンビニATMの中のヒトはデスマーチになりそうかも。
  • by tamaco (19059) on 2005年01月31日 8時00分 (#686543)
    TBSの朝のラジオで特集していました。
    富士通系のシステム(東京三菱)でしたが、
    なんと、ICチップに静脈特徴点情報入れるとのこと

    スキミング技術が進歩して、IC読み取られて、
    特徴点を示した「白い紙に黒印刷したもの」で
    もう止められないじゃんかよぉ・・

    銀行のオンラインに情報が載らないから漏れようがない
    ってなんか違うだろう、と突っ込みいれたくなりました
    • by aql (23441) on 2005年01月31日 10時23分 (#686577)

      確かに若干安全なのでは。

      ICから特徴点情報を得るには前段階としてICが盗まれるプロセスがあるので、それが一つのネックとなり(気づかれればこれまで通りカードを止められるので気づかれないように)、あとサーバ側だとクラッキングされた場合被害が全体に及ぶ可能性があるけれど、個別にわけておけば被害は大きな範囲には及びにくい。(たくさん盗まなくてはならないので。)

      今と状況が全く何も変わってないですけどね…。

      親コメント
  • by alchemy (20366) on 2005年01月31日 9時41分 (#686564) 日記
    SecurIDみたいなカードを別に採用しようと思わないんだろうか。
    流石にあれは偽造できないでしょ。
typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...