バイオメトリックスプーフィング攻撃への対策方法
個人を識別または認証する際には、信頼性が不可欠です。バイオメトリクスは、人々を知識に基づくのではなく、その人自身に基づいて確立するのを助けるため、最も安全な身元確認方法の1つです。しかし、詐欺師たちは常に活動中で、無実の被害者の身元を偽る方法を模索しています。
バイオメトリックスプーフィングとは何ですか?
コンピュータネットワークへのアクセスから 国境管理まで、バイオメトリック技術は多くの業界で広く使用されています。スプーフィングは、バイオメトリックシステムのセキュリティを回避しようとする試みです。不正者は、3Dマスク、偽の指紋、または写真のような異なる素材と方法を使用してスプーフィングを行うことができます。初期のバイオメトリックデバイスは、高品質の画像で簡単にだまされていました。
プレゼンテーション攻撃
偽装者は、バイオメトリックシステムに登録された人物を模倣するために、特定の特徴のコピーを使用します。モダリティによっては、彼らがバイオメトリクスの特徴を取得するのが容易です。
マスク
アイデンティティの操作、すなわちプレゼンテーション攻撃は、不正な旅行者が3Dマスクやその他の手段を用いて、自動顔認識システムを欺くことを要求します。
偽の指紋
模造の指は、通常シリコンまたはラテックスで作られ、データベースから抽出された指紋を備えています。この成形された指紋は、アクセスを試みるために指紋リーダーに提示されます。
形態変化
National Institute of Standards and Technology (NIST)によると、顔マーフィングは画像操作技術であり、2つ以上の被写体の顔を合成またはブレンドして1枚の写真の中に1つの顔を形成します。新しいマーフィング技術は、常に新しい検出方法と戦っています。
詐欺師は、2人以上の個人からの合成画像を提示して顔認識システムを騙そうとします。ソフトウェアの複雑さのため、マーフィングの検出はライブプレゼンテーション攻撃よりも難しいです。
スピーカー認識システムは、許可された個人の声を録音することで操作される可能性があります。しかし、それは簡単ではありません。スピーカー認識は、物理的および行動的な要素を組み合わせています。音声マーフィングソフトウェアは、システムに承認された人物の声を正確に模倣するために音声を調整またはトランスクリプトを作成します。
パスポートのヒンジ操作
パスポートのデータページには、氏名、パスポート番号、国籍、出生地および出生日、性別、そしてパスポートの発行日と有効期限が含まれています。データページのヒンジは、生体情報ページをブックレットの他の部分に取り付けることで、パスポートの完全性を保ちます。
犯罪者はヒンジを操作して偽の生体情報ページを挿入するか、既存のページを修正することができます。これに対抗するために、ほとんどのパスポートはポリカーボネートで作られています。この融合された素材は、各層に情報が保存された頑丈なページを作り、分離しにくくします。ヒンジはピンまたは熱溶接を使用してデータページに取り付けられます。エンボス加工、エングレービング、UVプリントのような改ざん防止技術により、操作の試みは当局に明確に示されます。
データベースとデジタルリスク
生体認証データのセキュリティは極めて重要です。生体認証データベースは介入を受けたり、基盤となるITシステムが攻撃を受けたりする可能性があります。政府や企業は、Laxtonの技術を用いて、身元確認または認証技術を実施することで、プライバシー侵害や生体認証データの露出を防止すべきです。
デジタル内部攻撃
バイオメトリックセキュリティシステムは、信頼された管理者がこのシステムを操作すると脆弱になる可能性があります。バイオメトリックデータベースは大量の個人識別情報(PII)を保存しており、内部攻撃によりデータ漏洩やその他の犯罪行為が発生する恐れがあります。
Laxton登録の詐欺
犯罪者は登録プロセス中に送信される生体認証データに注目し、Laxtonの特徴を含む偽の人物を含める可能性があります。詐欺師は、偽造された特徴がパスポートやIDカードに保存されている場合、偽の身分で旅行することができます。
スプーフィング攻撃を防ぐ方法
生体認証技術が進化する中で、偽造指紋の作成はますます複雑化しています。生体認証技術が絶えず進化する一方で、偽造方法の巧妙さも進化しています。Laxtonなどの実績ある技術である生体反応検出は、真正性を高め、生体認証システムをより強固にします。
なりすまし検出
プレゼンテーションアタック検出(PAD)は、生体認証スプーフィングを検出することです。PADの実装は高いセキュリティを提供しますが、費用がかかり複雑になる可能性があります。ISO/IEC 30107-1 フレームワークは攻撃のカテゴリーを提供し、PADを使用するべきかどうかを説明しています。
ライブネス検知
顔の生体検知などの高度ななりすまし防止手法は、偽物と本物を区別するために必要です。この技術は、カメラの前にいる人物が実際に存在しているのか、印刷された画像やデジタル画像が表示されているのかを判断します。データを収集した後、アルゴリズムがデータを解析し、情報源が偽物か本物かを検証します。
プレゼンテーションでの生体検知には動的および静的手法が使用されます。動的な方法は、ユーザーが自然な人間であることを確認するために取る行動を指します。例えば、頭を傾けたり、うなずいたり、まばたきしたりします。詐欺師はプレゼンテーション攻撃で動的な方法を偽ることができます。
皮膚の歪み分析は、偽物の指と本物の指を区別します。指が表面に押し付けられると皮膚が青白くなります。調査中、ユーザーは指をスキャナー上で動かして歪みを強調するよう求められることがあります。
静的な方法は、偽の指紋における不自然な特徴や詳細の欠如を検出します。自然な肌には毛穴があり、均一ではありません。オンラインユーザーの検証は、複数の特性に基づいて画像をチェックすることによって行うことができます。生体検知に合格すれば、アクセスやアクションが許可されます。
AI技術
人工知能(AI)は、バイオメトリクス システムの回復力を強化します。AIモデルを訓練することで、偽物と本物を区別し、偽造素材をより正確に認識するための生体検知アルゴリズムを支援することができます。
研究によると、人間はバイオメトリックスプーフィング攻撃を特定するのがはるかに困難です。ID R&Dの調査では、偽造された印刷写真、ビデオ、デジタル画像、3Dマスクを提示して人間と機械を試しました。コンピュータは模倣の試みをより正確かつ迅速に特定しました。人間は18%の実際の顔をスプーフィングとして分類したのに対し、AIシステムは誤って1%のみを分類しました。
マルチモーダル生体認証
人を特定または認証する際、信頼性は不可欠です。バイオメトリクスでは、偽陽性と偽陰性は避けられません。生体認証システムはアルゴリズムに基づいています。特に独立して使用される場合、測定が完全に正確であることはありません。いくつかの生体認証識別子を組み合わせることで、セキュリティと精度の層が追加されます。
多モーダル生体認証システム は通常、虹彩スキャンや指紋など、2つの生体認証情報を必要とします。指紋を偽造するのは難しいですが、指紋と虹彩を同時に偽造するのはほぼ不可能です。この追加のセキュリティ層を追加するには、ユーザーが認証されるために複数の手順を踏む必要がありますが、不便を感じるべきではありません。カメラを見ることとスキャナーに指を置くことは同時に行うことができます。
生体認証とLaxtonによる二要素認証
二要素認証 (2FA) は、オンライン詐欺を防ぐために最も使用されている方法の一つです。ユーザーは、通常、主要な方法とは大きく異なる追加の方法によって本人確認を行います。パスワードと顔認証やジェスチャー認識といった生体認証を組み合わせることで、ユーザーがシステムにアクセスできることを保証します。
私たちの安全なLaxton身分証明ソリューション
すべての生体認証システムには、ある程度の脆弱性があります。セキュリティは常にLaxtonソリューションの最前線にあります。私たちは、身分証明システムと製品の能力を継続的に評価し、リスクや潜在的な攻撃者の動機を分析しています。しかし、不正検知はユーザーエクスペリエンスを損なってはいけません。デジタルセキュリティを最優先に考える組織は、この微妙なバランスを継続的に評価するべきです。
