Apple は、Face ID と Touch ID は安全であると主張しており、ほとんどの場合、それは真実です。無作為に誰かがあなたの携帯電話のロックを解除できる可能性は非常に低いです。しかし、懸念すべき攻撃の種類はこれだけではありません。もう少し深く掘り下げてみましょう。
Face ID と Touch ID は異なる生体認証方法を使用していますが、内部的には非常に似ています。 iPhone にログインしようとすると、前面のカメラを見るかタッチ センサーに指を置くと、携帯電話は検出した生体認証データと Secure Enclave に保存されているデータを比較します。別個のプロセッサの最大の目的は、携帯電話を安全に保つことです。顔または指紋が一致すると、iPhone のロックが解除されます。そうでない場合は、パスコードの入力を求められます。これらはすべて机上ではうまく聞こえますが、安全なのでしょうか?
Face ID と Touch ID は一般的に安全です
一般に、Touch ID と Face ID は安全です。 Apple は、他人の指紋で iPhone のロックが誤って解除される確率は 50,000 分の 1、他人の顔でロックが解除される確率は 1000,000 分の 1 であると主張して います。誰かが 4 桁のパスコードを推測できる確率は 10,000 分の 1 で、6 桁のパスコードを推測できる確率は 100 万分の 1 です (ロックアウトされるまでに 3 回試行されます)。そうすることで物事を大局的に捉えることができるはずです。
誰かがあなたの携帯電話をランダムに拾ったり、盗んだりして、指紋や顔を使用したり、パスコードを推測したりしてロックを解除できる可能性は、信じられないほど低いです。
ここでの 1 つの注意点は、見た目が非常に似ている一卵性双生児または兄弟は誤検知を引き起こす可能性が高いということです。その場合、兄弟がFace IDであなたの携帯電話のロックを解除できる可能性があります。ただし、 一卵性双生児は人口の 0.003% しかいないため、多くの人に当てはまるリスクではありません 。これが心配な場合は、Face ID をオフにして、 安全なパスコードのみを使用すること ができます。
ただし、この種の偶然の侵入を防ぐことだけが懸念すべきことではありません。
Face ID と Touch ID は標的型攻撃に対して脆弱である可能性がある
見知らぬ人があなたの携帯電話に侵入できないことはほぼ確実ですが、標的型攻撃の被害者である場合は、状況が少し異なる可能性があります。
Touch ID と Face ID はどちらも、誰かが(寝ているときでも)センサーに指を押し当てたり、携帯電話を見させたりして、強制的にログインを強いられた場合、完全に脆弱になります。そして、これら 2 種類の攻撃は、誰かにパスコードを強制的に渡すよりもはるかに簡単に実行できます。
では、指紋の偽造はどうなるのでしょうか?さて、Touch ID のハッキングに成功しました。研究者らは 、偽の指紋を使用して、Touch ID で保護されたデバイスのロックを解除することができました 。しかし、同じ研究者らはこの手法を「決して些細なものではなく」、「まだジョン・ル・カレの小説の領域に少し入っている」としている。
基本的に、攻撃者が必要とするのは、高解像度で汚れのない指紋の完全なコピーと、数千ドル相当の機器です。理論的には、本当に決意のある誰かがこの方法であなたの携帯電話に侵入する可能性はおそらくあります 。おそらくあなたの指紋の写真からも可能です 。問題は、大多数の人々の iPhone 上のデータには、この種の攻撃のコストと手間に見合う価値がないということです。
さらに、機密性の高いデータや貴重なデータがある場合は、その情報を保護するために追加の措置を講じている可能性があります。これは、見ず知らずの人に対してすぐにできる類のものではありません。
Face ID はまだハッキングされていませんが、現実的には、おそらく Touch ID と同じ種類の攻撃を受けやすくなるでしょう。 Wired はそれを実現しようとして数千ドルを費やして失敗しましたが 、それは実現できないという意味ではありません。 Wired にこの件についてアドバイスしたハッカーのマーク・ロジャーズ氏は、「(ハッカーが)これをだますことができるとまだ 90% 確信している」と述べています。 iPhone Xは発売されてからまだ数か月しか経っていないので、1年後にはどうなるか見てみましょう。
結局のところ、セキュリティの自明の理の 1 つです。どのような認証方法も、十分に決意を固めた攻撃者に対抗することはできません。利用できる欠陥は常に存在します。それをいかに簡単に利用できるかが問題です。
政府からあなたを守るものは何もありません
どんなにセキュリティを強化しても、実質的に無制限のリソースとあなたの携帯電話への侵入を狙う断固たる政府機関(米国であろうがその他であろうが)からあなたを真に守ることはできません。彼らは 、携帯電話のロックを解除するために Touch ID または Face ID を使用することを法的に強制 できるだけでなく、 にもアクセスします。 GreyKey はおそらく iOS デバイスのパスコードを解読できるため、Touch ID と Face ID が役に立たなくなります。 Apple は、このエクスプロイトのような脆弱性デバイスを閉鎖するために懸命に取り組んでいますが、給料日を望む人々も同じように新しい脆弱性を発見するために懸命に働いています。
Touch ID と Face ID は非常に便利で、強力なパスコードでバックアップされていれば、ほぼすべての人が毎日安全に使用できます。ただし、あなたが断固たるハッカーや政府機関の標的になった場合、彼らはあなたを長くは守ってくれないかもしれません。
画像クレジット: XKCD 。
