パスワードを忘れた? アカウント作成
10428 story

大根で静脈認証 83

ストーリー by Acanthopanax
指大根 部門より

mew 曰く、 "バイオメトリクス認証の一手段であり、キャッシュカードの本人認証手段としても利用されようとしている静脈認証に“大根”が使えることを、日経 IT Pro が報じている。この異彩な実証実験結果は、過去にも指紋認証をゼラチン指で突破し、虹彩認証も瞳の赤外線写真で突破してみせた横浜国立大の松本勉教授によって、研究の途中成果として報告されたもの。大根を指太大の棒状に切ってラップで包んだ「ニセ指」を指静脈認証装置に登録した上で、再度差し込んで照合すると、100%の確率で受け入れられたという。
“本物の指”で登録済みの静脈認証を大根製のニセ指で突破できた、という話ではない。すなわち、静脈認証の有効性に懸念が生じたということに直ちにつながるものではない。ただ指紋認証などと比べて相対的に安全とされている静脈認証にも一定の脆弱性の発見(それも意外に簡便・廉価な手段によるもの)は今後十分にあり得るということで、松本教授は「頭から安全だと信じ込むのは危険で、今後、検証を重ねて精度評価基準を作る必要がある」とコメントしているそうだ。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2005年07月02日 8時45分 (#761452)
    pdfを読むと、今回の静脈認証に関する実験では

    ・大根で作った指は登録できる。その大根で認証もできる。
    ・エポキシ樹脂で作った指は登録できる。そのエポキシ樹脂で認証もできる

    と云うところまではできる、つまり現行の機器では人間の指以外(非生体部品)でも登録や認証ができる
    のは認証システムとしてどうよ?と投げ掛けているわけですよね?
    人間の手や指だけが持つ特徴的なものを認証の材料に入れて偽物を弾くようにすべきなのでしょうけど、
    どのような情報が有効でしょうね?
    • 架空口座作りに利用できそうですね。
      大根状の認証用模型指で口座作って、預金引出しに使う。
      --
      GNU is a religion. [flcl.org]
      親コメント
    • 有効とかそういう事じゃなく、「万能」の認証はあり得ない。
      万能じゃない事を前提にしてどうセキュリティを確保するのか、あるいはどの程度のリスクまで許容するのか(もちろん別の保護手段を用意した上で、ですが)を検討すべきって事でしょう。
      親コメント
    • 脳の記憶が一番有効のように思います。
      盗まれた際の変更も効くし。
      あれ?
      親コメント
    • エレベータなどの手をかざすところにセンサーを設置すれば、読み取って他人の樹脂の手のひらを作る事が可能みたいだな。
      シビアに検出すればはじけるかもしれないが、そうすると本人の手のひらでも弾くかも。
      まぁ、ICカード併用ならば別にどうでも良い気もするが、結局は磁気カードも併用してどうにもならないみたいな感じなのかな?
      親コメント
    • 経年変化にどこまで対応できるのかが重要ではないでしょうか。老化と共に、手にしわやらたるみやらができちゃって、若いときに作ったヘソクリが取り出せないなんてことになったら…
      親コメント
    • 認証機器の性能としては、非生体部品でも登録と認証ができるとしても、
      実運用時には窓口での登録作業が発生するんじゃないんですか?
      だったら、その時点で大根で登録しようとするお客様は丁重にお断りすればいいのでは?

      生体認証って、認証に使われたパーツが複製されにくいというのがメリットだと思うので、
      認証の為に登録するパーツが本当に本人の物かどうか?を担保するのは、別の話ではないですか?

      静脈データを登録する人が本人かどうか?の確認は、現在のところ窓口業務の人の判断によって担保されているわけですし。

      機器の性能を議論するならばいいですが、この実験によって認証システムとしてどうよ?というのは論点がずれているような気がします。
      親コメント
      • でも、大根のデータをデータベースに何らかの手段で入れられてしまったらまずいですよね。何らかの手段ってなんだよって言われても困るのですが。
        やはり機械自体が本当に生体なのかどうなのかを見分ける能力を持っていたほうが良いと思います。
        親コメント
        • by Anonymous Coward on 2005年07月02日 21時06分 (#761686)
          三菱銀行で手のひら静脈認証のカードを作った時にそのデータはサーバーとかで保存するのかどうかを窓口で聞いてみたのですが、「ICカード内のみに保存されます」と言われました。
          いくらICカードが暗号化やら読み書き時の認証ができるとはいえ、これで偽造カード作られる心配はないなのかな?
          親コメント
          • by ryu-2 (9699) on 2005年07月04日 8時54分 (#762243)
            > いくらICカードが暗号化やら読み書き時の認証ができるとはいえ、
            > これで偽造カード作られる心配はないなのかな?

            # 仕事がら、このタイプの質問をよく受けるもので…。

            ICカードは、使用エリアの設計がキチンとしていれば、
            偽造カードを作ることは原理的に不可能です。
            セキュリティ機能を持つICカードは、決められた手順以外では
            データを読み出す事は不可能なデバイスですので。
            # 決められた手順をハックされたら痛いところですが。

            内部データを読み出せない以上、偽造カードを作る事は
            出来ないとされています。

            # ただ最近は、サイドチャネル攻撃という、決められた手順以外での
            # 読み出し方法による危険性が議論されています。
            親コメント
            • 内部データを読み出せない以上、偽造カードを作る事は 出来ないとされています。

              元ACのコメントは、『別人の静脈データを書けたらダメだよね?』って事なのではないかと。
              #もちろん書き込み手順や、フォーマットがわからないと無理ですが。

              親コメント
          • by Hokusai (17336) on 2005年07月03日 0時27分 (#761767)
            今の暗証番号式の磁気カードも、当初は暗証番号を磁気テープ内に
            保存していたので偽造が容易だったとか。
            対策としてサーバーに保存するよう変更されたと聞いたことがあります。
            親コメント
    • 簡単です。

       指紋認証でも静脈認証でも

       認証した後、針が出てきておもいきり刺します

       血が出てきたら、血液型を認証します (:-P

      #「痛い!」と言うかどうかのチェックでは不十分
      親コメント
    • 生体認証に、手とか指とかいつも露出しているところを利用すると、それが脆弱性につながるのではないかと。
      だから、しわに隠れているへそだとか、鼓膜だとか、鼻の中とか、あそことか、人には見せない体の部分を生体認証に使うって事が大切なんじゃないかと思います。
      そういう意味では、やっぱり「記憶」というのが最強のの生体認証なのではないかと。
      だから、脳波とか、そういうものが使われるようになるんじゃないかと思います。嘘発見器みたいなものとか。酔っ払ったり、ぼけたらもう預金が引き出せないって事もある。
      親コメント
    • 切ったら血が出るとか……。
      --
      //Sinraptor
      親コメント
  • by natamame (27048) on 2005年07月02日 14時26分 (#761594) 日記
    以下にあてはまるお客さまは当サービスをご利用いただけない場合がございますがご了承ください。

    • 手指の一部が欠損している方

    • 入れ墨のある方

  • by Anonymous Coward on 2005年07月02日 8時38分 (#761451)
    現在の静脈認証で主に使われているのは赤外線なので
    今回は十分にありえる話。

    で登録した時と認証した時の物がいっしょなので特に問題は無かろう。
    • Re:脆弱性というか (スコア:2, おもしろおかしい)

      by targz (14071) on 2005年07月02日 8時46分 (#761453) 日記
      >で登録した時と認証した時の物がいっしょなので特に問題は無かろう

      人間の指だったら他人に渡すのが困難ですが、大根だったら簡単に渡せるのが問題かもしれません。つまり、名義貸し口座に使えてしまいます。
      「静脈認証される口座は確実に本人のものだ」という保証がなくなったわけで、ある意味問題でしょう。

      # あ、大根の賞味期限が口座の賞味期限か:-)
      親コメント
      • by deleted user (19654) on 2005年07月02日 12時32分 (#761544) ホームページ 日記
        そうそう。どうして指紋とか虹彩とかで認証するかというと、本人と不可分だからなので、
        別にして持ち歩けるなら、しち面倒くさい指紋識別装置なんぞ存在する意味がないのです。
        パスワードよりドングル、ドングルより指紋、指紋より血管や虹彩が良いというのは、
        そのほうが本人以外の利用を制限していると考えられていることによるのだと思います。

        元コメントのACな人は「赤外線だからありうる話」とおっしゃっていますが、
        そここそが脆弱性であるという話題なのでしょう。静脈認証なら「少なくとも
        生きてる動物しか受け入れないだろう」と思ってしまいがちですから。
        これが世間の常識になって「貴社では赤外線ですか。それは危険ですなあ」と
        いう共通認識があるなら脆弱性ではなくなりますね。今回はAC氏ほどの知識が
        ない人が「へえぇ」と思ったという話で。もちろん私も知りませんでした。

        パスワードは教えてしまえばいくらでも同時利用可能、ドングルも複製すればそうだが
        偽造には手間がかかる。指紋も複製がより困難なだけで、それこそエポキシ指でOK。
        じゃあ静脈ならいいだろ。……っていう文脈で、今回は「これ静脈認証じゃないじゃん」
        というギャフンな結果だった、と見ています。
        親コメント
      • Re:脆弱性というか (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2005年07月02日 9時09分 (#761462)
        ばあちゃんも組織が崩れてくるから
        認証率が下がってくるよね。
        これも口座の賞味期限だね
        親コメント
        • Re:脆弱性というか (スコア:2, おもしろおかしい)

          by deleted user (19654) on 2005年07月02日 12時52分 (#761554) ホームページ 日記
          ああ! それは本当に大変ですね。

          「奥さま、本日は登録なさったときと体調が異なるようですね。
          どなたか信用できる若い方がいらっしゃいましたら、できるだけ早く
          口座の静脈データをそちらの方に変更なさいますようお勧めいたします。」
          →オレオレ静脈。

          「あるいは、従来の暗証番号方式に戻すこともできますが。」
          →そのうちボケて忘れる。

          もちろん体に RFID を埋め込んだって問題は変わらない。
          じゃあいったい年寄りはどうすればいいんじゃい。
          →銀行に血管拡張剤とか救心とかハンドクリームが完備される?
          →養命酒の広告で「最近銀行で認証できないあなたに」とか書かれる?
          親コメント
      • by Cutlet Curry (4119) on 2005年07月02日 10時26分 (#761486)
        タクアンになっちゃたら認証不可能?
        --
        モデレート したいときには 権利なし
        かつかれー
        親コメント
    • by ikeyasu (5427) on 2005年07月04日 13時46分 (#762402) 日記
      たしか月間ComputerWorldに、本人で登録した静脈認証に対して、大根で認証して、パスしている実験データがあったような・・・。

      http://www.computerworld.jp/magazine/-/17901.html/200506/

      IT業界の定説「嘘か真実か?」(第18回)
      バイオメトリクス認証を用いれば安心?
      親コメント
  • 手首から先を切り落として血管にお湯でも流し込みながら機械にかければいいじゃん。
  • by e2718 (23583) on 2005年07月02日 19時23分 (#761660) 日記
    以下IT Proの元記事より
    >一つは、野菜の大根を棒状に切りラップで包んだもの(写真)。
    >もう一つは、スキー場の人工雪に使われる高分子ポリマーを
    >エポキシ樹脂と硬化剤で固めたものである。
    >これらを市販の指静脈認証装置に登録した上で、
    >再度差し込んで照合すると、いずれも100%受け入れられた。
    >ただし、作ってから1週間経過した大根では、受け入れ率が98%に低下する

    いったい、この認証機械は、大根やポリマーの何をもって
    「静脈」と認識したのだ?
    赤外線の透過率意外、三者、全く共通点が見当たらないのだが、、、、

    また、一週間経過して、かなり萎びていると想像される大根でも
    98 %は認証可能というのは、興味深い
    あまり、細かい相違を認識していないのだろうか?

    人間ならある程度共通する、静脈パターンや、
    人間による認証を併用したら、少しはましになりそうだが、、、、、、、

    #高分子ポリマーって変な表現だな
    • by e2718 (23583) on 2005年07月02日 19時27分 (#761663) 日記
      投稿してから気づきましたが

      >受け入れ率が98%に低下する

      受け入れ率が100 %から98 %に低下したのか
      受け入れ率が、98 %分だけ低下し、受け入れ率2 %になったの
      どちらの意味でしょうか?
      親コメント
  • by e2718 (23583) on 2005年07月02日 19時32分 (#761666) 日記
    かなりオフトピで申し訳ない

    以前から疑問だったのですが
    人間が絶対お札とは認めないが、
    自販機などの機械は確実にお札と認識する、
    お札?を作ると、偽札を作ったとして、捕まるのでしょうか?

    作っただけ、と、実際に使用、でも同じく罰せられるのでしょうか?
  • 各種儀式にて血を捧げる作法ってのは
    本人確認のためにあったんだな。
  • by ktoshiharu (8209) on 2005年07月04日 11時35分 (#762324) 日記
    ITProの記事中にリンクが張られてる一連の実験結果(pdf) [fsa.go.jp]のP.5にある脆弱性の「狼」「羊」ってなんでしょう?
    聞いたことないので、詳しい方の解説希望。
    • Re:狼?羊? (スコア:1, 参考になる)

      by Anonymous Coward on 2005年07月04日 14時33分 (#762424)
      pdfですけど。

      http://www.imes.boj.or.jp/japanese/jdps/2005/05-J-02.pdf
      親コメント
    • Re:狼?羊? (スコア:1, 参考になる)

      by Anonymous Coward on 2005年07月04日 14時37分 (#762427)
      専門家ではないので、正確ではないかもしれませんが。

      で、wolfとかlambっては、生体認証のアルゴリズムの脆弱性を示す言葉で、生体認証自体が「特徴抽出」に依存していることに由来するものです。
      目一杯わかりやすく(誤解満載で)言ってしまうと
       ・狼(wolf):ある特徴について、どんな人にもなりすませてしまう無敵の生体
       ・羊(lamb):誰にでも共通している(認証的には)無意味な特徴
      ということになります。
      #これ以外にヤギ(goat)ってのもいた気がしますが忘れた…。

      したがって、wolfが存在しうる特徴やlambである特徴は、認証上は使っちゃいけない(使っていたとしても、無意味)ということになります。
      親コメント
      • by ktoshiharu (8209) on 2005年07月04日 14時55分 (#762434) 日記
        なるほど。勉強になりました。
        それにしても狼や羊、あげくに山羊とかはどの辺から持ってきたんでしょうか。なんとなく童話あたりかなあ、という気もするんですが。
        親コメント
  • by GG (21918) on 2005年07月04日 15時47分 (#762459)
    体中の全ての部位がコピー可能になると、
    生体認証が過去の技術になる。

    最終的に「我思うゆえに我あり。」ということで、
    真に確かなものはその人の意識そのものになって、
    ゴースト認証なんてのができたりして。
    で、その先は当然ゴーストハックする輩がでてくると。

    某9課の見すぎですか、そうですか。
  • by namacha (22621) on 2005年07月05日 16時34分 (#762901)
    登録・照合のセンシングロジックとは別に、機械にかざされた物が本物の生きている人間の手であるかどうかセンシングするロジックも付加したらどうなんでしょうか?

    #たまにはまともなレスを付けたつもりのためID
  • by Anonymous Coward on 2005年07月02日 8時38分 (#761449)
    大根見ろ、大根見ないでさー
    俺を見ろ、君を見ろ。
    太陽を見ろ
    警察が呼んでるううううううう
    いいじゃないか
    いいじゃないか
    バレなければー
    ああああああああああああああ

    そんな感じだろ。
  • by Anonymous Coward on 2005年07月02日 8時38分 (#761450)
    これがあれば万全!というセールストークをそのまま信じてはいけないという実例ですね。

    # 自分がリフォーム詐欺に遭ったかのような衝撃
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...