セキュリティ動向チェック
Security&Trustウォッチ(48)
セキュリティ自由研究:
この夏、グミ指を作ってみないか
上野宣
2007/9/19
指紋は指先にある紋様で、人ごと、指ごとに異なる。指先から出る皮脂などによって、この紋様が何かに付着することを指紋が付くという。その特徴を生かして、指紋は個人を特定することにもよく用いられる。事件の証拠として利用したり、入室管理や携帯電話のロックなどの認証でも用いられている。
以前、指紋認証システムを食用のグミなどで作った指紋(グミ指)で突破することができるという記事を何かで見掛けて、一度試してみたいと思っていた。身近な材料で、最先端の技術が突破されるというギャップに驚きを感じた。今回は実際にこの目でグミのチカラを確認してみようというレポートである。
| セキュリティ自由研究レポート | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
■採取した指紋からグミ指を作ろう 指紋はそこら中に付いている。指紋は皮脂なので一度付着すると取れにくいようだ。とすると、指紋認証のための端末の近くにもその人の指紋が付いているはずだ。その付着した指紋を採取して、グミ指を作ってみよう。 指紋を採取して、グミ指を作る手順はこんな感じ。
■指紋採取、気分は刑事ドラマ 指紋採取なんて、刑事ドラマなどでしか見たことがない人が多いはず。私も耳かきのぼんてんのようなものを使って、ナゾの粉をパタパタやると指紋が浮き出てくるぐらいの知識しかなかった。 指紋採取について少し調べてみると、そのナゾの粉はどうやらアルミの粉末らしい。早速近所の東急ハンズに探しに行くと、DIYコーナーに売っていたので、お買い上げ。 自分の指紋を採取するだけなので、量はほんのちょっとでいいのだが、小瓶に使い切れないぐらいのアルミの粉が入っている。軽く100人分ぐらいの指紋が採れそう。それより、うっかりこぼして吹き飛ばしたりして、粉じん爆発しないように気を付けなきゃ。
材料は手に入れたので、次は指紋を集めてみよう。指が触れたところなら指紋は残っていそう。 取りあえず、身近にあるもので指紋が採りやすそうなiPodの裏ぶたにしてみた。指紋が付きやすいというイメージで、真っ先に思いついたのがコレでした。
わざとらしく付いた指紋の跡に、ドラマで見たあのシーンを思い出しながら、アルミの粉をiPodに振りかけてみた。 筆を使って余分な粉を取り除いていくと、徐々に指紋が浮かび上がってくる。ぼんてんを使って丁寧に作業をするまでもなく、意外と指紋に付いたアルミの粉は簡単にははがれないようだ。普通の絵筆でうまく作業することができた。
■採取した指紋をスキャンしてパソコンで編集 次に、このアルミの粉で浮かび上がった指紋をスキャナー経由でパソコンに取り込むために、梱包用の透明テープをiPodに丁寧に貼り付けて、はがす。それを紙に貼り直してスキャナーで読み取る。
第1弾から鮮明に写っていて問題なさそうだったが、念のためもっと指紋を集めることにする。 集めた指紋を画像編集ソフトで編集して基板の大きさに合うように配置。そして、ネガポジ反転してOHPフィルムに印刷して準備完了。OHPフィルムなんて10年ぶりぐらいに使った気がする。
■指紋の型をプリント基板で作る プリント基板なんて10年以上前に学校の実習か何かで作ったきりだ。道具なんて持っているはずもなく、一式そろえなければならない。
感光基板は写真を現像するのと似たような仕組みで、フィルムを重ねて露光させることで基板を作ることができる。 感光基板を袋から取り出し、先ほど作ったOHPフィルムを素早く重ねて、セロハンテープでずれないように止めておく。そして太陽の光の下で数分間さらしておくことに。説明書には、晴れの日で2〜3分と書いてあるので、曇りの日の今日は10分ぐらいやればいいのだろうか。取りあえず、多少露光させすぎても大丈夫だろうと思い、10分間放置してみた。 その結果は――露光させすぎて失敗。指紋が分からないぐらいになってしまった。基板1枚しかないのに……。取りあえず、この日はあきらめて追加注文することにした。待つこと3日で再チャレンジ。 この日は天気が良く太陽の光に2〜3分ぐらい当てたら、基板の色が変わっているのが分かった。恐らく感光している状態のはずなので引き上げる。すぐに、基板を現像するために現像液につけて現像処理を行う。水洗いして乾かしたら、次はエッチング処理。
エッチング液に10分ぐらい浸しておくと、基板が徐々に変化していく。銅が溶け出しているようだ。時折取り出して基板をさわってみると、指紋の部分に凹凸が生まれてきた。
磨いていないので見た目は悪く、写真だと指紋の凹凸の細かい部分はよく見えないが、いい感じで指紋の型ができた。 基板として使うには、もう少し処理を行う必要があるようだが、今回の目的は型を作るだけなのでここまでに。 ■ゼラチンでグミを作る グミなんて何年か作ってないので、レシピサイトからグミの作り方を調べる。ゼラチンと果汁でできているようだ。おいしく食べたいわけではないので、今回は果汁や砂糖は省いて水で作ることにした。 材料は家の食料庫にあった粉ゼラチンを失敬。粉ゼラチンに同量程度のお湯を加えて混ぜると、ドロッとしたグミのもととなる液ができた。本当は粉が残っていたら、完全に溶かすために電子レンジにかけるといいみたい(写真は完全に溶ける前にやってしまったもの)。 グミのもとを基板の指紋の上にかけて、グミを固めるために基板ごと冷蔵庫へ入れる。基板の熱伝導率が良いせいか、10分もしたらすぐに冷えてグミが固まった。ぶよぶよしている。
できたグミの表面をさわってみると、手の指を直接触るよりも指紋の凹凸がはっきりと分かる。
■もっと簡単に指の型を取って、グミ指を作る グミ指を試してみたいだけなら、もっと手軽に試すことができる。それは、指から直接型を取る方法だ。 手順はこんな感じで、基板で作るグミ指よりも簡単。
指の型を取るために使ったのは、「おゆまる」という80度以上のお湯で柔らかくなって自在に整形可能なゴムのような素材です。
少し熱いけどガマンしながら自分の指の第1関節ぐらいまで巻き付けていく。うまく指をカバーできたら、指ごと水で冷やして固める。 固まったら指を抜くと、型が完成する。固まったおゆまるは結構丈夫で、さわっても型くずれなどしないほどだ。
完成した指の型に、ゼラチンを溶かして作ったグミのもとを流し込んでいく。型が倒れないように冷蔵庫に入れて、冷やして固める。 固まったころ合いを見計らって冷蔵庫から出す。グミは型から簡単に抜けないので、型をカッターで切って取り出すことにした。
■グミ指を使って指紋認証デバイスをだます 早速作ったグミ指を手近にあった指紋認証デバイスで試すことにした。
手近にあったのは、上記の2種類の指紋認証デバイス。エリア・センサーを1種類、ライン・センサーを2種類の計3種類で試してみた。 実験の方法は、あらかじめ私の指紋を登録しておいて、次に採取した指紋から作ったグミ指と、型を取って作ったグミ指の2種類を指先に付けるか、指で持つ形で使って、最大10回までの試行で認証をクリアすることができるかを試すことにした。
実験結果はこのようになった。
エリア・センサーの場合は、グミ指をべったりと置くだけで認証を行うことができるが、ライン・センサーの場合は、指を均一の圧力と速度でスライドさせて読み込ませなければならないので、グミ指の扱いが難しい。 特にグミ指Bは、圧力のかけ方が難しい。薄く切って、グミ指Aと同様に指に貼り付けて実験すればよかったかもしれない。 指紋認証用のデバイスもさまざまな方式があるようで、センサーには静電容量方式や光学式、感圧式などがあり、指紋の識別方式には特徴点抽出方式やパターンマッチング方式、周波数解析方式などがある。 ライン・センサー1も2も同じ方式のセンサーを用いているので、実験結果に差が出たのはセンサーの性能の差ではなく、センサー周りの障害物の形状によるものが大きいと考えている。指紋を読み込んだときにスキャン画像が画面に出るが、ライン・センサー2の場合には途中が途切れていたり、強く当たりすぎて黒塗りになったりしていた。グミ指がうまくセンサーに接地できていないようだ。グミ指の硬さなども考慮すべき要素のようだ。
■グミ指でだますことができる指紋認証デバイスもある 実験の結果から指紋認証デバイスによっては、グミ指を使うことで簡単に突破できることが分かった。また、市販の指紋認証デバイスのほとんどは突破できるという記事も見掛けたことがある。 グミ指が話題になったのは数年前なので、指紋認証デバイスは改良されているようで、生体反応が検知できる技術というのはいくつかあるようだ。ただそういった技術を搭載することでコストが上がるようなので、安価な指紋認証デバイスとしてはしばらく残るのではないだろうか。 もし少しでもセキュリティ強度を高めたいのならば、指紋認証デバイスだけではなく別の認証を組み合わせることも検討すべきだ、ということにしよう。 |
来年の夏休みの自由研究あたりにいかがでしょうか。ちなみにグミ指は、実験を繰り返して温まってくるとベタベタと溶け始めるので、冷蔵庫から出して適温でご利用ください。
なお、使用後はスタッフがおいしくいただきました(?)。
| Profile |
| 上野 宣(うえの せん) 株式会社トライコーダ代表取締役 ネットワーク・サーバー セキュリティ診断、セキュリティ対策・運用改善コンサルティングを主な業務としている。 近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記」 |
| Security&Trust記事一覧 |
- XSSは知ってても、それだけじゃ困ります? (2007/9/28)
Webアプリのセキュリティについてもっと詳しく知りたいけれど、まず何を勉強すればいいの? そんな疑問に応える新連載! - 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ (2007/9/26)
なにげなく接しているメッセージ、それを文字通りに受け取らないことで見えてくるものもあるのです。あなたはこの問いにどう答えますか? - Consumerの実装を知り、OpenIDを使ってみよう (2007/9/21)
さあ、準備運動は完了です。今回はPerl、Catalystを利用し、実際にOpenIDを活用したサイト――Consumer側の実装を体験しましょう - この夏、グミ指を作ってみないか (2007/9/19)
「グミ指で指紋認証を突破できる」と聞いたことはあっても、実際に試してみたことは? そこでちょっと遅めの夏休みレポートを提出します!
|
|
スポンサーからのお知らせ
- - PR -
**先週の人気講座ランキング**
〜eラーニング編〜
| ◆ | New! SOAで実現する「ITガバナンス」―SOA化の メリットはシステム開発・運用体制の統制 |
| ◆ | New! 10年後、なりたい自分になるために―― 「社会人大学院」選びのポイントとは? |
| ◆ | New! 「日本の優れたソフトウェアを海外へ」 サムライテクノロジストたちの挑戦に迫る |
| ◆ | データもプログラムもOSも……一切なし! 常識を越えたウルトラ・シンクライアント |
| ◆ | 中小規模システムにこそブレード型サーバ が最適な理由を訊く―― |
| ◆ | 新たに記録された脆弱性のうち7割近くが ゼロデイ攻撃の対象となり得る?! |
| ◆ | もはや「手の届かない存在」ではない!? ハイエンドストレージが“身近”な存在に |
| ◆ | 企業のITシステムに浸透する「Web 2.0」 最先端技術に触れて、Ajaxを体感しよう! |
| ◆ | Enterprise2.0時代の情報管理基盤とは? 次世代情報管理について考える |
| ◆ | ほんの数分でシステムリカバリが完了! もしもの時にきっと役立つバックアップ術 |
| ◆ | セキュリティ対策の新コンセプト――鍵は 2つの意味が込められた“協調”にあった |
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「ITmedia」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。