パスワードを忘れた? アカウント作成
10002812 story
プライバシ

ドイツの情報保護委員、iPhone 5sの指紋認証機能は使うべきでないと主張 83

ストーリー by headless
主張 部門より
ドイツ・ハンブルグのJohannes Casper情報保護委員が、iPhone 5sの指紋認証機能を使うべきではないと主張しているそうだ(Spiegelの記事本家/.)。

Appleでは、端末に保存されるのは暗号化された指紋データのみで、指紋イメージ自体が保存されることはないとし、サードパーティーアプリによる指紋センサーの利用も当面は認めない方針を示している(WSJ.comの記事)。しかしCasper氏は、端末に保存された指紋データがどのように使われるのか、平均的なiPhoneユーザーでは確認できないとし、Prismのような諜報プログラムの存在が明らかになった今、重要な個人データを端末に保存することは以前よりもリスクが高いと述べているそうだ。特に指紋のように変更することのできない生体データについては、便利だからといって手軽に使用するべきではないとの主張のようだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そうか、パスワードでいいんだ。

    • by Anonymous Coward

      確かにiPadならともかくiPhoneだとスクリーンの大きさからして
      パスワードを書いた付箋をつけとく人は少なそうなので安全かもw

  • by Anonymous Coward on 2013年09月16日 15時03分 (#2460981)

    米国の入国審査の段階で、既に両手の全ての指の指紋を採られてるから。

    諜報機関がappleを屈服させてるなら、その辺りはとっくに手下にしてるだろう。

    #そもそも生体認証技術の中でも指紋は採取が容易で、
    #セキュリティ的にはあんまり高くない技術だよね?

    • 指紋認証っていうと「指紋画像の流出」とか「指紋からの指型製造」って話は必ず出ますけど、センサが流出対策するのとは別に、指をセンサに通すことで不可逆のなんか変換が発生しますよね。だから"センサーを通すとこの指紋に見える指型"を起こさなきゃいけないと思うんですけど、そこはあんまり問題にならないんでしょうか。

      指紋センサが見る特徴をすべて読み取れる情報量がある指のスキャン方法を使って盗まれた指紋なら、それを再現すれば通るってのはわかるんですけど、それってセンサの読み方を変えると作りづらくなったり対策ができて、結構難しそうな。

      親コメント
      • by Anonymous Coward

        逆かもね。

        例えば、血液にはすごい情報が含まれていて、センサーも100種類ぐらいの試薬を投入しているんだけど、認証に使うのは血液型だけ、とか。カメラで言うと、センサーは紫外線や赤外線のパターンまで含めた総天然色をRAW画像として保存しているんだけど、認証に使っているのはモノクロバーコードだけ、とか。

        工業・経済的にはくだらないように思えるけど、ブラックボックスである以上、どんな仕掛けがあるかはわからない。特に政府当局が絡むと、そこらへんの予算はタガが簡単にはずれるから……

      • by Anonymous Coward

        今回の場合は
        「諜報機関と組んだAppleが、不可逆変換をしてない生データを保持してるんじゃね?諜報機関に送ってるんじゃね?」
        という話と考えていいから、その辺はあまり問題にならんのでは。

        通常は不可逆変換されたハッシュ値みたいなもので保持しているから、
        そのデータからだけではグミ指とかを作るのは難しいはず。

        • 普通の指紋データでセンサーを通れる必要はなくて、センサーの生データに対して普通にとった指紋を照合できるなら、iPhoneユーザの指と名前が取得できて、諜報機関がよりふつうの方法でとる指紋からユーザを特定・追跡したり、偽名とかを確認できるってことですか。確かにそれは確認できないし怖いですね。

          # ぶっちゃけ、AuthentecにもAppleにもそういう技術はない気がする
          # しかしStuxnetの開発元とかが開発チームに紛れ込んでいて…みたいな冷戦もの小説レベルの話だと否定できない

          親コメント
          • by Anonymous Coward

            リコーのゲルインクプリンタだと印字部分が微妙に盛り上がるので、指紋の複製を作れそうな気がします。

    • 指紋だけでなく、位置情報や個人情報(自分だけではなく)も関連付けられて含まれる可能性があるけれども、
      それでも関係無いといえますか?

      親コメント
  • 複製されて悪用されたら、動かぬ証拠となってしまいます。

    • by Anonymous Coward

      いっそ、自分の指紋を公表しておけば、当局の捜査を受けることになっても
      指紋の証拠性が否定できて楽かも。

    • by Anonymous Coward

      Libretto U100についていた指紋認証を「何故かわからないけど、気持ち悪いから使いたくない」と思って
      有効にしなかった理由を、いまさらながら言語化してもらえました。

      あれは、もし指紋情報を登録していたら、どの様な形で保存されていたのだろう。
      中古で売ったらHDDから読み取られちゃうのかな

      #というか、このドイツの人が今になってこういうこと警告し始めた、ってのは
      #指紋認証の機器でこれだけ多く売られるのがiPhone5sがはじめて、ってことなのかな。

      ##それとも、Libretto U100はEUでは売(ら)れなかった?
      ##windowsはローカルで認証だけど、iOSだとネット通信が前提(盗聴の可能性が高まる)、ってこと?

      • iPhoneに載せると同じモデルで数千万台とかばらまかれるので、ノーパソにオプションで付いたり分散して使われるのとはちょっと感覚が違うし、ネタにしやすいんでしょう。今の指紋認証システムだと、モジュールの方に指の特徴の情報だけ持ってて滑らせると照合結果だけ返す、あるいはホストで照合するときでも特徴だけ読み取って画像は渡さないみたいな作りじゃないかと。iPhoneに載るのはAppleが買収したAuthentecのもののはずで、なんだかSoC上のセキュリティコプロセッサみたいなのに保存する、アップロードとかはしないって宣伝してたので、そこで照合してメインのCPUからどの指と一致したか結果だけ見るんじゃないでしょうか。たぶん。

        親コメント
      • by Anonymous Coward

        そもそも、どのように保存されているか以前にどの程度確実な認証なのかも不明じゃないか。

        100人が試したら開いてしまうようなアルゴリズムでないとどう保証するんだろう。?
        ある地域で判定基準の特徴が一致する者の人口が異常に多いケースがないとどう保証するんだろう?

        • by Anonymous Coward
          ACで書き込みしたはずのあなたの身元が、今日にもネットにさらされないとどう保証するんだろう?
          • by Anonymous Coward

            保証が必要な投稿はせんよ

  • 用心は必要だけど、結局どこまで許容出来るかって事ですよね。
    位置情報まで売るキャリアも有るらしいし。

    ショルダーハックされて、スマフォ盗まれた時の方が実害は大きいよね、

  • by Anonymous Coward on 2013年09月16日 14時45分 (#2460967)

    ガラケーで指紋認証なんて枯れ果てた技術というかガジェットだと思うのだけど、
    ガラケーの時はこういう議論ってったのかな?
    他には車のキーでも何でも。

    • by haratake (365) on 2013年09月16日 15時34分 (#2460998)

      きっと、日本の諜報機関が優秀ならば、そういう議論も起こったのでしょう。

      親コメント
    • by Anonymous Coward
      ヒント Apple
    • by Anonymous Coward

      >Prismのような諜報プログラムの存在が明らかになった今、

      昔のことは関係ないと思います。

    • by Anonymous Coward

      議論じゃないけど、思い出すのはこのマンガ・・・
      http://blog.livedoor.jp/kanasokucomic/archives/51553067.html [livedoor.jp]
      敵は近くにいるよ!

      • by Anonymous Coward

        iPhone を盗まれるのと一緒に指も切られてぬすまれそうって思った。指紋認証怖い

  • by Anonymous Coward on 2013年09月16日 14時55分 (#2460974)

    指紋の精度って90パーセントくらいしかないんじゃないの
    スマホごときが高いセンサ載せるわけもない
    だから本人でも解除に失敗する

    • by Anonymous Coward
      画像認識ではなくて、表皮のRF信号を読み取るのだそうな。 http://wired.jp/2013/09/12/iphone5s-biometrics [wired.jp]
      でも、ふやけたりすり減った指先だと、やっぱり照合に失敗しそうな。
      • by Anonymous Coward on 2013年09月16日 20時29分 (#2461137)

        ふやけたりすり減った指先

        防水にしないのも7インチタブレットに懐疑的だったのもこのせいだったんだ!

        親コメント
  • by Anonymous Coward on 2013年09月16日 15時04分 (#2460982)

    例えば脱獄用のプログラムや、脱獄端末向けの海賊アプリに諮問データを第三者に送信する機能が仕込まれるリスクはありますよね。
    そのうちAndroidにも指紋認証搭載する端末が増えてくるだろうけど、生体認証データを詐取するアプリが登場するリスクはあるでしょう。

  • by Anonymous Coward on 2013年09月16日 15時14分 (#2460985)

    iPhoneの指紋認証はRF方式のため、可視光での指紋の画像とは異なるデータになります。

    ただ、一般人にはそんなことわかりませんので、
    某所で見かけた
    「悪意あるアプリが指紋認証失敗したというウソダイアログを出し、
     フロントカメラで指紋画像などを撮影しろと要求する。従うと可視光での指紋画像が盗まれる。
     精度は大したことないが、悪意あるアプリやサイトでの個人特定には十分」
    とかは、一般人ほど引っかかるでしょう。

    これは、携帯電話が医療機器に影響を与えるということになったあと、
    PHSも目立つようには使わない
    (実際には医療スタッフなどは目立たないように使いますが)のがマナーになったのと同じですね。
    重大な問題につながる要素があるのと紛らわしいなら、全体として自制することも考慮する必要があるでしょう。

    • > これは、携帯電話が医療機器に影響を与えるということになったあと、
      > PHSも目立つようには使わない
      > (実際には医療スタッフなどは目立たないように使いますが)のがマナーになったのと同じですね。

      申し訳ないが、そのようなマナーは聞いたことがない。どこの医療機関でも、スタッフはPHSを普通に使っていると思う。

      近年では、IHを使った炊飯器でペースメーカーの設定が初期化されたとの報告はあったが、携帯電話での報告はなく、総務省の調査でも誤動作は確認できていない。
      1.IH式電気炊飯器等による植込み型心臓ペースメーカ,植込み型除細動器及び脳・脊髄電気刺激装置(ペースメーカ等)への影響について [mhlw.go.jp]
      携帯電話端末による心臓ペースメーカ等の植込み型医療機器への影響に関する調査結果 [soumu.go.jp]

      実際のところ、大勢の患者が場所を選ばずに携帯を使ってしゃべると、不快に感じる患者が少なくないといった問題だと思う。医療機器に不具合が生じる可能性があるといえば、ヤの付く自由業の方でも素直に止めてもらえる可能性も高い。
      フロア毎に携帯電話を使っても構わないエリアを設定する医療機関が増えてきたことも、ペースメーカーに影響がないことを表しているのではないか。

      ペースメーカー使用者が不安に感じるなら遠慮すべきだという気遣いも理解できるが、それを永遠に続けるわけにもいかない。少なくとも携帯電話が事実上、影響を与えないことは、一般の成人のペースメーカー使用者なら理解できていると思う。(ペースメーカーは電池駆動なため、5年毎に交換する。少なくともその際に、説明があると思う)

      親コメント
    • by Anonymous Coward

      あまり気にする必要はないと思ってるほうですが。

      理論上、「可視光での指紋の画像」であれば、特徴点を計測するかなんかして、3Dプリンタを使用して、
      その特徴点を持った親指もどきを作れるような気がするんですがね。

      だから「一般人」でなくても多少は気にしても、必ずしも間違いではないのでは。

      #さほど気にしなくてもいいのは確かなので、歯切れは悪くなりますが。。
      #暗号化っても、せいぜいAES 128bit程度でしょうし。。
      #鍵自体が駄々漏れする可能性もなくはない。。

  • by Anonymous Coward on 2013年09月16日 15時20分 (#2460988)

    公的なものは人差し指の指紋だけど、これは親指使うから悪用できないんじゃなかろうか?

    • by Anonymous Coward

      公的なものは「全部の指」です。

    • by Anonymous Coward

      > 公的なものは人差し指の指紋だけど、これは親指使うから悪用できないんじゃなかろうか?

      公的な制限として、人差し指という指定はないですし、親指という指定もありません。
      「利き手と反対側の薬指」など運用は組織ごとにバラバラです。

      また、スマホを両手で使ったり、タブレットを片手で持ってもう片手で操作する場合などは
      ロック状態のiPhoneやiPadにおいて、ホームボタンを人差し指で操作開始すること人も多くいます。
      ちなみに自分がスリープ状態のiPhoneを左手で横持ちして右手で操作開始するときは薬指で押します。

      実機の挙動はまだ見たことはありませんが、
      上記のブレや、指先で押す、指の腹で押すなど、一人の個人が使う一般利用でもブレが考えられますので
      1つの端末内アカウントに対し、複数の指紋情報を登録できると考えるのが妥当でしょうし、
      利用者は「よくわからないけど、使いそうな指や押し方をいろいろ登録しておこう」と思うでしょうね。

  • by Anonymous Coward on 2013年09月16日 15時31分 (#2460993)

    タッチ画面にDNA検出機能が搭載され(ry

    # さすがに数年じゃ無理かな?

    • 光学的な方法でDNAのようなモノを解析できる日となると、100年でも無理な気がします。

      #近未来のスパコンと電子顕微鏡がスマホサイズに収まって
      #タンパク質の光学解析にコペルニクス的展開があればもしかしたら…。

    • by Anonymous Coward

      画像、音声、電気的信号…人間からはいろいろな情報が溢れ出ているので、
      DNAなんて化学的な手段に頼るまでもないでしょう。

      # しかしもし人間と同じような認知方法で認証させるとしたら、
      # 本人の情報だけでなく、周囲の知り合いの人間もそのスマートフォンに
      # 「見知って」おいてもらいたくなるでしょうね。
      # プライバシーとかの問題が余計ややこしくなりそうだ。
      # 有名人を10,000人とか登録しとけば、大丈夫かな

  • by Anonymous Coward on 2013年09月16日 18時30分 (#2461081)

    テクノロジーオンチが潔癖性をこじらせるとこうなるのか…
    こういう大人にはなりたくないね

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...