指紋認証は、パスワードやPINコード入力より便利な本人確認方法だ。単純に指で画面を触われば良いのであり、英数字の長い羅列を入力するのに時間を使うことがバカバカしくなるかもしれない。

しかし、その便利さにはコストが伴うことを知っているだろうか。一般的なパスワードと異なり、あなたは自分の指紋を、タクシーのドア、iPhoneのスクリーン、レストランのワイングラスに残している。そして、それらは大きなセキュリティリスクを伴うのだ。

この記事は、仮想通貨取引所クラーケンのセキュリティ研究チーム「セキュリティー・ラボ」が、指紋認証という便利なログイン手段がいかに悪用されやすいか、実演を通じて解説する。

指紋を盗む

実は、指紋認証を悪用する上で、あなたの指紋を直接入手する必要はない。あなたが触ったモノ（地元の図書館の机やジムの器具など）の写真さえあれば十分だ。

PC画面に写った被害者の指紋

この写真をもとに、1時間ほどPhotoshopを使えば、まともなネガを得ることができる。

以前の写真から作った指紋のネガティブ

次に、アセテート素材のシートにプリンターで印刷する。トナーによって、3D構造の指紋を作ることができる。

アセテートのシートに印刷した指紋

最後に、木工用接着剤を指紋の上に塗って、実際に使う偽の指紋を作る。

合成指紋を作る

攻撃開始

作った指紋をスキャナーに置くだけ。

MacBook Proに作った指紋でログイン

クラーケン・ラボは、この手法を使ってほとんどのデバイスにアクセスすることができた。もし現実にこの攻撃が実行されたら、多くの個人情報が抜き取られることとなっただろう。

対応策

指紋認証は、強固なパスワードの代替手段と考えるべきではない。指紋認証の脆弱性をつくことで、たとえアマチュアの攻撃者たちであっても、あなたの個人情報、そして、あなたの仮想通貨を入手できてしまう。

あなたの指紋は、確かにあなたしか持っていないという点でユニークではあるが、簡単に悪用されてしまう。せいぜい使えるのは、2段階認証（2FA）の手段としてのみだろう。

セキュリティ対策の思わぬ落とし穴についてもっと詳しく知りたい方は、クラーケンのサポートセンターをご覧いただきたい。