生体認証のスプーフィング攻撃に対抗する方法
人物の識別や認証を行う際には、信頼性が不可欠です。バイオメトリクスは、人が知識ではなく自身の存在自体に基づいて特定されることを助け、安全な身元確認方法の一つです。しかし、詐欺師は常に活動しており、無実の被害者の身元をなりすます方法を探し続けています。
生体認証のなりすましとは何ですか?
コンピュータネットワークへのアクセスから 国境管理まで、バイオメトリクス技術はさまざまな産業で広く使用されています。スプーフィングは、バイオメトリクスシステムのセキュリティを回避しようとする試みです。詐欺師は、3Dマスクや偽の指紋、写真などの異なる素材や方法を用いてスプーフィングを行うことがあります。初期のバイオメトリクスデバイスは、高品質な画像によって簡単に騙されるものでした。
プレゼンテーション攻撃
詐欺師は、バイオメトリックシステムに登録されている人物を模倣するために、特定の特徴のコピーを使用します。モダリティによっては、彼らがバイオメトリック特性を取得するのは容易です。
マスク
アイデンティティ操作、つまりプレゼンテーション攻撃は、不正旅行者が3Dマスクやその他の手段を用いて、自動顔認識システムを欺くことを必要とします。
偽の指紋
模擬指は通常、シリコーンやラテックスで作られ、データベースから抽出した指紋が付いています。型取られた指紋は、アクセスを試みるために指紋リーダーに提示されます。
変形
米国国立標準技術研究所 (NIST)によれば、フェイスモーフィングとは、2人以上の被写体の顔を合成またはブレンドして1つの顔にする画像操作技術です。新しいモーフィング技術は常に新しい検出方法と戦っています。
詐欺師は、2人以上の個人から作成した合成画像を提示して顔認識システムを欺こうとします。ソフトウェアの複雑さのため、モーフィングの検出は、生見せかけ攻撃よりも複雑です。
スピーカー認識システムも、認可された個人の声を録音することで操作可能です。しかし、単純ではありません。スピーカー認識は物理的および行動的要素を組み合わせているからです。ボイスモーフィングソフトウェアは、人間の声を調整したり文字起こしを作成したりして、システムによって承認された人物とまったく同じように聞こえるようにします。
パスポートのヒンジ操作
パスポートのデータページには、名前、パスポート番号、国籍、生年月日と出生地、性別、およびパスポートの発行日と有効期限が含まれます。データページのヒンジは、バイオページをブックレットの他の部分に結合することでパスポートの整合性を確保します。
犯罪者は、ヒンジを操作することで偽のバイオページを挿入したり、既存のページを修正したりすることができます。これに対抗するために、ほとんどのパスポートはポリカーボネートで作られています。この融合材料は、各層に情報が保存された堅固なページを作成し、分離を難しくします。ヒンジはピンや熱溶接を用いてデータページに接続されます。エンボス加工、彫刻、UVプリントなどの改ざん防止技術により、操作の試みは当局に可視化されます。
データベースとデジタルリスク
生体情報のセキュリティは非常に重要です。生体データベースは介入の対象となったり、基盤となるITシステムが攻撃されたりする可能性があります。政府および企業は、識別または認証技術を実施することで、プライバシーの侵害や生体情報の漏洩を防止するべきです。
デジタル内部攻撃
バイオメトリックセキュリティシステムは、信頼された管理者がこのシステムを操作した場合、脆弱になる可能性があります。バイオメトリックデータベースには、個人を特定できる情報 (PII) が大量に保存されていますが、内部攻撃によってデータ漏洩や他の犯罪行為につながる可能性があります。
登録詐称
犯罪者は登録プロセス中のデータ送信においてバイオメトリックデータを狙う可能性があり、偽者の特定の特徴を含むことがあります。もし偽造された特徴がパスポートやIDカードに記録されていれば、詐欺者は偽の身元で旅行することができます。
なりすまし攻撃を防ぐ方法
生体認証技術はより高度になり、偽の指紋を作成することがますます複雑になっています。生体認証技術が絶えず進化しているのと同様に、偽装方法の洗練度も向上しています。実証済みの技術であるライブネス検出は、生体認証システムをより強固なものにします。
なりすまし検出
プレゼンテーション攻撃検出(PAD)は、生体認証の偽造を検出することです。PADを導入することで高いセキュリティが確保されますが、コストがかかり複雑になることがあります。ISO/IEC 30107-1フレームワークは攻撃のカテゴリーを提供し、PADを使用するべきかどうかを説明します。
ライブネス検出
顔のライブネス検出などの高度なアンチスプーフィング手法は、シミュレーションと現実を区別するために必要です。この技術は、カメラの前にいる人が実際にいるのか、印刷またはデジタル画像が表示されているのかを判断します。収集後、アルゴリズムはデータを分析し、ソースが偽物か本物かを確認します。
プレゼンテーションでのライブネス検出は、動的および受動的方法で行われます。アクティブとは、ユーザーが自分が自然人であることを確認するために行う行動を指します。たとえば、頭を傾ける、うなずく、瞬きをするなどです。詐欺師は、プレゼンテーション攻撃でアクティブな方法をスプーフィングすることができます。
皮膚の歪み分析は、本物の指と偽物を区別します。表面に押さえつけると肌は青白くなります。調査中に、ユーザーは歪みを増幅するためにスキャナー上で指を動かすように求められることがあります。
静的な方法は、偽造指紋の不自然な特徴や詳細の欠如を検出します。自然な肌には毛穴があり、不均一です。オンラインユーザーを検証することは、複数の特徴でチェックされた画像を通じて行うことができます。ライブネスボックスにチェックを入れることで、アクセスやアクションが可能になります。
AI技術
人工知能(AI)は、生体認証システムの耐性を向上させます。AIモデルは、偽造を見分ける能力を訓練され、本物検知アルゴリズムがさらに正確に偽造材料を認識するのを助けます。
研究によると、人間は生体認証のなりすまし攻撃を識別するのが非常に困難です。ID R&Dの研究では、印刷された偽写真、ビデオ、デジタル画像、3Dマスクを提示して、人間と機械に問題を出しました。コンピューターは、模倣の試みを認識する速度も精度も高かったです。人間は18%の本物の顔を偽物と分類しましたが、AIシステムは誤って分類したのはわずか1%でした。
マルチモーダル生体認証
人物を特定または認証する際には、信頼性が不可欠です。バイオメトリクスでは、偽陽性と偽陰性は避けられません。バイオメトリックシステムはアルゴリズムに基づいています。特に単独で使用する場合、どの測定も完全に正確であることはできません。複数のバイオメトリクス識別子を組み合わせることで、セキュリティと詳細度が向上します。
マルチモーダルバイオメトリックシステム は通常、虹彩スキャンと指紋認証など、2つのバイオメトリック資格情報を必要とします。指紋を偽装することは難しいですが、指紋と虹彩を同時に偽造することはほぼ不可能です。この追加のセキュリティ層を追加することで、ユーザーが認証されるには複数の手順が必要になりますが、不便を感じさせてはいけません。カメラを見て指をスキャナーに当てることは、同時に行うことができます。
生体認証による二要素認証
二要素認証 (2FA) は、オンライン詐欺を防ぐために最も使用されている方法の一つです。通常、非常に異なる追加の方法でユーザーの身元を確認します。パスワードと顔やジェスチャー認証のような生体認証を組み合わせることで、ユーザーがシステムにアクセスできることを保証します。
当社の安全なアイデンティティソリューション
すべての生体認証システムにはある程度の脆弱性があります。セキュリティは常にラキストンソリューションの最前線にあります。私たちは絶えず、アイデンティティシステムと製品の能力を評価し、リスクと潜在的な攻撃者の動機を分析しています。しかし、不正検出はユーザーエクスペリエンスを損なうべきではありません。デジタルセキュリティを主な優先事項とする組織は、この微妙なバランスを絶えず評価する必要があります。
