スマホの指紋認証は危険？強力という意見もあるが恋人や家族の前では無力かも

先日友人からこんな質問を受けました。

スマホの指紋認証って危険なの？

この友人は以前のエントリー、注意！スマホのパターンロックは簡単に解除できてしまう！？にも登場している浮気が奥さんにバレた人。

さらに、スマホで検索したGoogleさんの検索履歴を削除したい！
しかも今後検索したキーワードを残さないように設定したい！
といった相談もされており、その設定方法についてもこのブログで紹介しています。

参考：Googleの検索履歴を削除、残させないように設定したい！

よほど奥さんにやましいことがあるんでしょうか…。
スマホのセキュリティー全般に関することや、検索履歴の消し方などにかなり興味が出てきた様子。

そして今回の相談・質問が『スマホの指紋認証って危険なの？便利そうだからできれば使いたいんだけど…。』というものです。

どうも最近機種変更して新しくなったスマホの設定画面に、指紋認証の項目があったようで。

こっちの方がパターンロックやパスワードよりも簡単じゃん！
とは思ったものの、スマホのパターンロックは簡単に解除できてしまうかもしれないという以前の事例を思い出し、設定前にまずははるるに相談。
それで大丈夫そうなら使おう！と相談してきたみたいです。

指紋認証の仕組み

人間の手指の表皮には、個人ごとに異なる指紋と呼ばれる模様※が付いています。
指紋認証では、この個人ごとに異なるという指紋の特性を活かして個人を特定し、認証に利用しているのです。

※汗腺(皮膚にある汗が出る穴)の開口部が隆起した線によりできている模様を指紋と呼びます。

指紋は他人とは一致しない！

指紋は他人と完全に一致することはないと言われています。

ですがこれは一致する確率が著しく低いため、ないと考えて良い。
ということであり、多数の人間を調べれば完全に一致する別人を見つけられる可能性はゼロではありません。

指紋には特徴的な要素を持つ特長点が多数あり、そのうち12か所が一致すれば同一の指紋とされています。
そしてこの12か所の特徴点が一致する確率は、なんと1兆分の1だそうです。(8か所の特徴点が一致する確率は1億分の1。)

現在の世界人口は75億人前後なので、地球と同じ程度の人口の星を134個探し回れば、完全に一致する指紋を持った別人に出会えるかもしれませんね。
1兆分の1とはそれくらいの確立です。

こういった事情から、現実的には同一の指紋を持った別人はいない、という考え方で問題ないのです。

スマホの指紋認証の仕組み

スマホの指紋認証の仕組み(実装)は、メーカーや機種によって異なります。

ただ基本的な仕組みはほとんど同じで、何らかの方法でロック解除を試みるユーザーの指紋データを取得。
これとあらかじめ登録しておいたロック解除が可能なユーザーの指紋が一致するかどうかを確認し、一致すればロック解除されるというものです。(指紋の一致判定には特徴点、その位置関係などを使用。)

先にも書いたとおり、指紋が他人と一致する可能性は著しく低いため、他人に解除されることはないだろう。
という前提に基づいた認証方式となります。

指紋認証は強力な(セキュリティー強度が高い)認証方式という意見がある

指紋認証はパスワードに比べて強力である(セキュリティー強度が高い)という意見があります。

これは以下のような理由によります。

他人が認証を解除するのは難しい

パスワードでは、他人がパスワード文字列を何らかの方法で手に入れてしまえば、他人がそのパスワードを入力しても認証が解除されます。
これに対して指紋認証の場合、他人が認証を解除できるユーザーの指紋を手に入れることはできないので安全だ、という意見です。

パスワード文字列は入力時の様子を後ろから見ている(ショルダーハック)、隠しカメラで録画しておくなどの手法で比較的簡単に入手可能です。
ところが指紋はこれらの手法で盗むことは困難であり、入手はたしかに難しいのでしょう。

総当たり攻撃が難しい

ランダムな文字列の組み合わせを何度も入力していれば、いつかはパスワードを探し当てられるはずだ！
という発想のもと、ひたすら異なるパスワードを入力し続けることを総当たり攻撃(ブルートフォースアタック)と呼びます。

総当たり攻撃を受けると、理論上はいずれ正しいパスワードが割り出されてしまいます。

これに対して指紋認証の場合では、指の表皮の模様を認証に使うため、任意の長さ・文字種の文字列を使うパスワードのように、総当たり攻撃を仕掛けるのは難しいのです。

他人に推測されることがない

総当たり攻撃には、連続してパスワードを間違えた場合、一定時間正しいパスワードすら受付けないロックアウトという仕組みと、複雑で長い文字列のパスワードの使用が有効です。

ところが複雑で長いパスワードは覚えられないからと、自分の誕生日など覚えやすい文字列をパスワードに使用する方も。
こういったパスワードは他人から推測されてしまう可能性があり、危険です。

しかし指紋は自分で設定するものではなく、覚える必要もないもの。

そのため簡単な指紋だとか覚えやすい指紋というものがなく、他人と一致しない複雑な模様であり、指紋認証は非常に強力な(セキュリティー強度が高い)認証方式である。
という意見があります。

これらはどれも説得力がある意見であり、うなずけるものでしょう。
ですが指紋認証にはいくつかの弱点があります。

指紋認証の弱点

指紋認証には、たとえば以下のような弱点が挙げられます。

無断で指紋を使用可能である

無断で指紋を使用可能であるなんて書かれても、どういうことか想像がつかないのかもしれません。
ですがこれはとっても簡単な話で、指紋認証のかかったスマホの持ち主が寝ているときに、その人の指を持ってスマホに押し当てるなどです。

持ち主の指紋を使っているので、当然スマホのロックは解除されます。

このときスマホの持ち主は睡眠中であり、もちろん許可を取っていません。
そのため”無断で”指紋を使用しているわけです。

こういった方法でロックを解除可能なので、冒頭の友人の『スマホの指紋認証は危険なの？』という質問が、他人に解除されてしまう危険性はないの？
という意味であれば、『スマホの指紋認証は他人に解除されてしまう危険性があるよ！』が回答となります。

ただ指紋を持ち主の許可無く利用できるのは、持ち主の意識がない状況(睡眠中・失神)など限られたシーンのみでしょう。

したがってそういった状況となることがあまりないと考えられる場合には、解除される危険性はほとんどないと考えて良いはずです。

友人のケースでは、奥さんや子どもなどの家族を含めた他人が、自分のスマホの指紋認証によるロックを解除。
これにより不正アクセスするのを防ぎたい目的でロックをかけていると思われます。

そして奥さんの前で一切寝ないでいるなんてことは無理ですよね。
だからこのケースでは、指紋認証によるロックは使わない方が無難でしょう。

もし使うのであれば、後述の対策を実施した上での使用をおすすめします。

指紋認証はユーザー本人の手指を使わずにロックを解除できることがある

指紋認証は指紋を読み取る機械に手指を押し当てて指紋を読み込み、あらかじめ登録しておいたユーザーの指紋と一致する場合のみ認証され、ロックが解除されるもの。
ですが特殊な方法を使うことで、ユーザー本人の手指を使わずともロックを解除可能なことがあります。

過去、子供用玩具の粘土にユーザーの指紋の型をつけ、それを使ってiPhoneの指紋認証を解除できたという事例が報告されています。

また指紋の写真を取得し、それを特殊なインクで印刷してAndroidスマホの指紋認証を解除できたケースもあるようです。

盗むという言葉が適切かどうかは分かりませんが、何らかの方法で指紋を盗み、それを本人の同意なく使用して指紋認証を解除できることがある。
という事実は知っておいた方が良いでしょう。

変更回数が有限である

パスワードが他人に知られてしまった場合、ただちにパスワードを変更すれば、そのパスワードでは認証不可となります。

指紋認証でも同じように、何らかの方法で指紋を取得されてしまった場合、登録している指紋を別の指のものに変更することで、以前の指紋は使用できなくなります。※

ただパスワードの組み合わせが無数にあるのに対し、指の数は限られています。

一応同じ指でも指紋認証用に登録している指紋の位置を変えれば、別の指紋として登録可能ではあります。※
ですがこれにも限りがあり、パスワードと異なり変更回数は有限です。

※指紋は指ごとに異なり、同じ指でも部位によって異なります。

鍵自体が使用不可となることがある

指紋認証に使用する鍵は指紋です。
そのため手指に怪我をするなどして一時的に指紋(鍵)の形が変わってしまう※と鍵が使用不可となり、指紋認証で認証・ロックの解除ができなくなってしまいます。

ですが指紋認証を使う場合には他の認証方式と併用することが多く、指紋で認証できないときは別の方法で認証・ロック解除が可能です。
したがって認証・ロック解除ができなくて困った…、なんとことは起こりません。

※指紋は怪我をしても、ひどい怪我を負わないかぎりは同じ模様で再生します。

スマホの指紋認証はたしかに他人に解除されてしまう危険性があるけれど…

先に書いたとおり、指紋認証のかかったスマホの持ち主が寝ているときに、その人の指を持ってスマホに押し当てるなど(無断で指紋を使用)すれば、他人が無断でロックを解除可能です。

ただ他人が無断で指紋を使用可能な状態がほとんど発生しないのであれば、ロックを解除される可能性は低いと考えて良いでしょう。

特殊な方法を用いることで指紋を盗み、不正アクセスに成功した事例はたしかにあるようです。
ですが個人使用のスマホのロックを解除するために、そこまでの労力をかける方はあまりいないんじゃないでしょうか。

そして指紋認証は指をセンサーに当てるだけでOKであり、パスワードに比べて解除操作に時間や手間がかからないという素晴らしいメリットがあります。

こういった事情により、スマホを第三者の不正アクセスから保護する観点から見ると、とても有用な認証方法と言えます。

ところが、無断で指紋を使用可能な状態では非常に脆弱でして…。

恋人や家族の前では無力かも

これも先ほどふれたとおりで、恋人や家族の前では一切寝ないなんてケースは、まずあり得ないでしょう。

もし彼氏や彼女、旦那さんや奥さんが、あなたが浮気をしているんじゃないか…。
と疑っていた場合、スマホにアクセスして証拠を発見・確保しようと考えているかもしれません。

このとき、寝ているあなたの指をスマホの指紋センサーに押し付けるだけで解除できる指紋認証は、あまりにも無力。

というわけで、恋人や家族が無断でスマホのロックを解除するのを防ぎたい場合には、指紋認証の使用はおすすめできません。

ロックがかかっている時点であきらめる方もいると思うので、まったくの無力とは言いません。
そのため『無力かも』と表現しました。

指紋認証が不正に解除されるリスクを減らす対策

最後に指紋認証を不正に解除されるリスクを減らす対策を2つご紹介しましょう。

解除シーンを見られないようにする(認証に使用する指を隠す)

パスワード認証では、入力時の様子を後ろから見られる(ショルダーハック)ことで、パスワードの文字列を第三者に知られることがあります。※

指紋認証を使っている場合はパスワードを見られるわけではありません。
ですが認証に使用する指が知られてしまうと、不正に解除される可能性が上がります。

そのためできるかぎり他人に解除シーンを見られないようにする(認証に使用する指を隠す)と良いでしょう。

※後ろからではなく正面から見られても、もちろん知られる恐れがあります。

登録する指紋の位置を特殊な位置にする

ロック解除用の指紋を登録するときは、指の腹の指紋を登録するのが一般的です。
ですがこれを上下左右にずらした特殊な位置で登録することで、不正に解除されにくくする効果が期待できます。

この方法を使っていれば、たとえ指紋認証に使っている指が知られたとしても、認証に使用されることが多い指の腹の指紋では解除できません。

冒頭の友人は、自分が寝ている間に奥さんがロックを解除できるのは困る！
ということで指紋認証を使わないことにしたようです。

しかし今回ご紹介した弱点を承知の上で使うのであれば、指紋認証はとても便利な認証方法であることは間違いありません。
興味がある方は、ぜひ使ってみてくださーい！