カジノサイト
生体認証スクリーニングを回避する技術と科学
1971 年代ダイヤモンドは永遠、ショーン・コネリーのジェームズ・ボンドを巧みに演出彼の指先から離れた偽の指紋は、彼の偽りの身分を証明するという目的を果たした。 2001年代にマイノリティ・リポート、2054 年に設定された SF アドベンチャー、トム クルーズ演じるジョン アンダートンは、次の方法で虹彩検出プロトコルを阻止します。(注: このクリップは気の弱い人向けではありません)。
ハリウッドは、生体認証セキュリティ技術の未来的な使用法と、それを打ち破る方法の両方で長らく先を行ってきました。フィクションの領域を離れ、ユーロポール イノベーション ラボがリリースされました、犯罪者、テロリスト、スパイ、その他の悪者がどのように騙す方法を開発しているかを調査した 60 ページの報告書生体認証スクリーニング技術は騙すのが非常に難しいと考えられています。
「学術界で報告されている脆弱性のほとんどは、まだ実験室でのテスト段階にあることを理解すべきです」と報告書は説明しています。 「したがって、このレポートで詳述されている攻撃の可能性は、システムが脆弱であることを意味すると解釈されるべきではなく、むしろ、そのような弱点が悪用される可能性を事前に回避し、それらを悪用する試みが早期に捕らえられるように意識を高めるための継続的な努力の観点から見るべきです。」
その長さにも関わらず、このレポートは焦点が絞られています。指紋、顔認識、虹彩認識、音声認識という 4 種類の生体認証スクリーン技術に存在する特定の脆弱性を調査しています。生体認証システムの攻撃に使用される可能性のあるさまざまなベクトルを特定します。ユーロポールの報告書は、「」として説明されている脆弱性のみに焦点を当てています。プレゼンテーション攻撃”—別名、センサーをだます。
「バイオメトリック プレゼンテーション攻撃 (PA) は、本物のユーザー (登録されたデータ主体) になりすますか、バイオメトリック認識を回避する (身元をわかりにくくする) ことを目的として、プレゼンテーション攻撃手段 (PAI) (アーティファクトまたは改変されたバイオメトリック特性) を使用して攻撃者によって実行される、バイオメトリック キャプチャ デバイス (例: 指紋センサー、カメラ、マイクなど) に対する直接攻撃です。」と報告書は述べています。説明します。
指紋
1970 年代の一見不可能に見えたスパイ活動が、50 年にわたるコンピューター画像技術と材料科学と出会うとき、データベースから指紋データを取得し、それを使用して薄い基板上にレプリカを 3D プリントし、指に適用するというジェームズ ボンドの青写真は、もはや突飛なものではなくなりました。この方法で指紋読み取りデバイスをだます場合の制限要因の 1 つは、ソース素材が実際の 3 次元の指先の 2D 表現であることです。しかし、報告書は、新しい高度な 3D プリンティング技術により、「本物の指紋と同様の特徴を示す高解像度のアーティファクトの作成が可能になる」と述べています。
もちろん、報告書は、指紋をコピーされる人物が計画に同意している場合、実際の指先の 3D 型はさらに優れた再現につながる可能性があると述べています。
「これにより、不法移民が国境を越えたり、犯罪者が生体認証の特徴や他人の名前を使って旅行したりする可能性がある」と報告書は述べています。
指紋操作の別の形式は、識別を避けるために指紋を破壊または変更することです。 「指紋の破壊や改変は、指を切ったり、こすったり、縫い合わせたり、酸を使用したり、さらには指紋の移植など、さまざまな方法で発生する可能性があります」と報告書は説明しています。
顔認識
生体認証の約束は、強化されたセキュリティを提供できることです。たとえば、誰かの写真にだまされてはいけません。しかし、報告書は、ロック解除に顔認証が必要な個人用デバイスの 96% が、単純な写真の印刷によって回避されたという調査研究を引用しています。いわゆる「リプレイ攻撃」は成功率をさらに高め、最大 98% まで高めます。リプレイ攻撃では、静止写真ではなくビデオが使用されます。
顔スキャン技術には、民生用機器に搭載されているものよりもさらに高度な応用例があり、さらに高度化しています。 3Dマスク印刷に参入。安価な汎用シリコンマスクは、群衆の中で顔認識システムによる検出を回避するには効果的かもしれないが、個人情報を偽装してアクセスを得るには成功しないだろう。ただし、誰かの顔のカスタマイズされたマスクを作成することには、さらに有望な可能性があります。ユーロポールの報告書では、このようなマスクの製造コストは3,000ドルと見積もられているが、コストは低下している。ある研究では、このようなマスクは 2D 顔認識システムを欺くのに 57% 効果的であることが示されました。
別の顔認識操作技術はモーフィングと呼ばれるもので、見た目が似ている 2 人の人物を撮影し、写真操作ソフトウェアを使用して合成顔を作成します。この顔の写真は、パスポートなどの身分証明書の作成に使用できる可能性があります。 「モーフィングにより、例えば監視リストに載っている犯罪者が、自分とパスポート所有者の顔がモーフィングされた写真が含まれた他人のパスポートを所持して旅行することで、気づかれずに国境検査を通過できるようになる」と報告書は述べている。
最後に、昔ながらの優れた化粧の変更があります。これは、対象の身元を隠したり、場合によっては誰かになりすましたりするために使用できます。このような変化は驚くべきものになる可能性があります。お問い合わせください。夫人。ダウトファイア。
虹彩認識
その間、における検知回避の陰惨な方法マイノリティ・リポート—眼球移植—は、少なくとも犯罪手口としてはSFのままだが、報告書にある虹彩認識プレゼンテーション攻撃の1つは厄介な要素を含んでいる。「もう1つの手口は、死亡した個人の虹彩を使用するもので、テクスチャは死後数時間は変化しないためです。」
それほど陰惨ではない方法は、目の印刷された写真など、顔認識方法の一部を反映しており、2D プリントアウトとしても、眼球サイズの 3D 基板としても行うことができます。報告書によると、コンタクト レンズに虹彩のテクスチャを複製することは、現時点では虹彩検出システムを欺く実行可能な方法ではありません。
しかし、印刷された方法もこの目的に使用できるのと同様に、テクスチャード加工されたコンタクトレンズは識別を避けるために使用される方法です。
音声認識
オンライン バンキングから電子商取引、スマート デバイス認証に至るアプリケーションでは、音声生体認証システムを使用してユーザーを認証します。このシステムは主に、声道、咽頭、口腔、鼻腔などの生理学的属性に関連付けられたパターンを使用し、それらが組み合わされて独特の音を形成します。
「採用が増加しているにもかかわらず、音声生体認証システムは適切に保護されていない限り、さまざまななりすまし/プレゼンテーションによる操作に対して脆弱になる可能性があることが証拠によって示されています/ディープフェイク攻撃なりすまし、リプレイ、合成音声、変換された音声が原因である」と報告書は述べています。「同時に、ディープフェイクの音声模倣に利用できる使いやすいアプリの数は増え続けています。」
音声なりすましは人間の認証者をだます可能性がありますが、音声の生理学的属性に基づく音声認証システムをだます可能性は低いです。主な攻撃ベクトルはリプレイ攻撃で、これは人々の会話を直接録音したものです。合成音声。テキスト読み上げシステムを使用してターゲットの声に音声を合成します。ある話者の言葉を別の人の音声パターンに変換する音声コンバーター。
明らかに、リプレイ攻撃はターゲットの音声を実際に録音したものに限定されます。後者の 2 つのシステム (合成と変換) はより危険であり、「継続的に開発が行われており、最新の技術は最高のパフォーマンスを発揮するプレゼンテーション攻撃検出ソリューションにも挑戦し始めています。」
この報告書では、合成または変換された音声の改変と組み合わせて使用される顔認識詐欺の亜種を利用するディープフェイク技術についても説明しています。状況によっては、特にリモート ビデオ アクセスによってアクセスが制御されている場合、ディープフェイク テクノロジーがプレゼンテーション攻撃として使用される可能性があります。また、ディープフェイクが詐欺や詐欺に対して壊滅的な役割を果たす可能性があることも指摘しています。
緩和
このレポートは、いくつかの推奨事項を提供することで、生体データのセキュリティ手法の有効性を高めることを目的としています。
意識を高めます。 法執行機関やこのテクノロジーを使用する関係者にとって、情報を共有し、最近の動向についての継続的な教育を求めることが重要です。 「常に最新の情報を入手することで、専門家は潜在的な脅威に効果的に対処し、調査能力を高めることができる」と報告書は述べています。
高度な回避検出技術。プレゼンテーション攻撃の洗練さと手法は進化し続けています。このテクノロジーに依存している企業は、検出システムで最先端の慣行を維持する必要があります。 「あらゆる実装は、これらのプレゼンテーション攻撃検出テクノロジの機能と制限の完全な理解に基づいている必要があります。」とレポートは述べています。
生体認証への統合アプローチを採用。生体認証システムの一部には、データ収集、保存、送信、識別、検証が含まれます。このシステムの各部分のセキュリティが、全体的なソリューションのセキュリティを定義します。 「これらの個別の部分がすべて一緒になって強力な生体認証システムを構成しており、他の部分が同等に強力でない場合、1 つの部分だけに焦点を当てても無意味になる可能性があります。」と報告書は述べています。
コラボレーションの強化。 生体認証、法医学、サイバーセキュリティ、セキュリティなどのさまざまな分野の専門家が、生体認証の知識、理論、経験、応用を共有する必要があります。 「生体認証 (識別/検証) とその脆弱性をよく理解するには、その分野と研究の専門家を結び付け、洞察を共有できるようにすることが重要です。」と報告書は述べています。
標準化されたレポートと集計。 プレゼンテーション攻撃や生体認証技術に対するその他の攻撃は、少なくともこれらのタイプのシステムに特有の攻撃としては広く報告されていません。アクセス制御違反は、特定の生体認証アプリケーションの違反としてではなく、そのように報告される場合があります。 「運用中の生体認証システムに対する潜在的な脅威を示す集約データを編集するには、調和のとれた国際コード体系が必要である」と報告書は述べています。
