生体認証システムは本質的なリスクを抱えている(写真:Adobe stock)

ハリウッドのスパイ映画で、主人公が敵の組織に潜入する際、顔の変装、指紋の偽造などあらゆる方法で、ゲートを突破するのをご覧になった方も多いと思います。では、このような突破方法は、あくまで映画の中でCIAエージェントがスパイ活動をするための荒唐無稽な絵空事なのでしょうか。

スパイ映画のワンシーンは絵空事ではなくなっている(写真:Adobe stock)

もし、スパイ映画のように一般の企業が実装している生体認証システム(顔、指紋、静脈、虹彩)を破ることなどあり得ないとお考えならば、いますぐ情報のアップデートが必要です。犯罪者たちはすでに、企業や組織の本人認証として広く採用されている生体認証をたやすく破る、さらにはそこを狙い目としたハッキングの仕組みを持っているのですから。

1. 生体認証のリスクとは

まず、生体認証が持つ本質的な共通リスクを考えてみましょう。

①不可逆性:漏えいすると生体情報は一生変更できない
パスワードと異なり、生体情報は(当然ですが)一生変更できません。一度情報が盗まれると、永久的な本人なりすましリスクとなります。誤用したり盗まれたりすると、企業・組織・本人にとって一生取り返しがつかない極めて重いリスク(最上級の要配慮個人情報)となります。

②再現可能性:特徴量化されたテンプレートでも再現できる
生体情報を特徴量化したテンプレートでも、生成AIを使った再構成や逆推定が可能となり、本質的な安全性は保証されなくなっています。

③脆弱性:採取プロセス、センサー攻撃による侵入と偽造入力
生体認証システムでは、入り口(センサー)自体が攻撃対象となり、センサーの改ざん、リプレイ攻撃、偽造データ挿入、センサー・端末間の盗聴が行われる可能性があります。ここが今後の侵入経路として攻撃者のターゲットになることは容易に想像されます。

④本人認証の強制:本人の意思を無視した攻撃
脅迫や強要、あるいは睡眠中の身体からの測定採取など、本人の意思とは関係なく認証されてしまうリスクがあります。つまり、本人の自由意志を完全に担保することはできないということです。

⑤運用上の例外規定:例外対応が攻撃の突破口
生体認証システムは、認証が強固であっても、人間の運用が弱いと突破されるという構造的な問題があります。例えば生体情報の再登録時、管理者が生体情報を解除し、一時的な代替認証などの例外的な対応を行うタイミングで突破されてしまう問題は軽視できません。

⑥内部不正:本人性が強すぎることの問題
生体認証は「本人であること」の保証が強固ですが、逆説的には、本人が悪意を持てば非常に強い不正も可能になるということです。生体認証だけで認証突破する危険性を特に認識する必要があります。特に金融機関などでは、こうした内部不正によるインシデントが最も多いと言われています。

企業におけるサイバーセキュリティ対策としての認証では、上記の③⑤⑥が特に重要となります。