指紋は指先にある紋様で、人ごと、指ごとに異なる。指先から出る皮脂などによって、この紋様が何かに付着することを指紋が付くという。その特徴を生かして、指紋は個人を特定することにもよく用いられる。事件の証拠として利用したり、入室管理や携帯電話のロックなどの認証でも用いられている。
以前、指紋認証システムを食用のグミなどで作った指紋(グミ指)で突破することができるという記事を何かで見掛けて、一度試してみたいと思っていた。身近な材料で、最先端の技術が突破されるというギャップに驚きを感じた。今回は実際にこの目でグミのチカラを確認してみようというレポートである。
セキュリティ自由研究レポート
■採取した指紋からグミ指を作ろう
指紋はそこら中に付いている。指紋は皮脂なので一度付着すると取れにくいようだ。とすると、指紋認証のための端末の近くにもその人の指紋が付いているはずだ。その付着した指紋を採取して、グミ指を作ってみよう。
指紋を採取して、グミ指を作る手順はこんな感じ。
- 指紋を採取
- 採取した指紋をスキャナーで読み込む
- 指紋をネガポジ反転してフィルムに印刷
- プリント基板の上に3.のフィルムを重ねて露光
- 露光した基板を現像
- エッチング処理で基板の銅を溶かす
- ゼラチンでグミのもとを作る
- 7.のグミのもとを基板の上に流し込む
- 冷蔵庫で冷やす
- 基板からグミをはがして完成
■指紋採取、気分は刑事ドラマ
指紋採取なんて、刑事ドラマなどでしか見たことがない人が多いはず。私も耳かきのぼんてんのようなものを使って、ナゾの粉をパタパタやると指紋が浮き出てくるぐらいの知識しかなかった。
指紋採取について少し調べてみると、そのナゾの粉はどうやらアルミの粉末らしい。早速近所の東急ハンズに探しに行くと、DIYコーナーに売っていたので、お買い上げ。
自分の指紋を採取するだけなので、量はほんのちょっとでいいのだが、小瓶に使い切れないぐらいのアルミの粉が入っている。軽く100人分ぐらいの指紋が採れそう。それより、うっかりこぼして吹き飛ばしたりして、粉じん爆発しないように気を付けなきゃ。
材料は手に入れたので、次は指紋を集めてみよう。指が触れたところなら指紋は残っていそう。
取りあえず、身近にあるもので指紋が採りやすそうなiPodの裏ぶたにしてみた。指紋が付きやすいというイメージで、真っ先に思いついたのがコレでした。
わざとらしく付いた指紋の跡に、ドラマで見たあのシーンを思い出しながら、アルミの粉をiPodに振りかけてみた。
筆を使って余分な粉を取り除いていくと、徐々に指紋が浮かび上がってくる。ぼんてんを使って丁寧に作業をするまでもなく、意外と指紋に付いたアルミの粉は簡単にははがれないようだ。普通の絵筆でうまく作業することができた。
■採取した指紋をスキャンしてパソコンで編集
次に、このアルミの粉で浮かび上がった指紋をスキャナー経由でパソコンに取り込むために、梱包用の透明テープをiPodに丁寧に貼り付けて、はがす。それを紙に貼り直してスキャナーで読み取る。
第1弾から鮮明に写っていて問題なさそうだったが、念のためもっと指紋を集めることにする。
集めた指紋を画像編集ソフトで編集して基板の大きさに合うように配置。そして、ネガポジ反転してOHPフィルムに印刷して準備完了。OHPフィルムなんて10年ぶりぐらいに使った気がする。
■指紋の型をプリント基板で作る
プリント基板なんて10年以上前に学校の実習か何かで作ったきりだ。道具なんて持っているはずもなく、一式そろえなければならない。
感光基板は写真を現像するのと似たような仕組みで、フィルムを重ねて露光させることで基板を作ることができる。
感光基板を袋から取り出し、先ほど作ったOHPフィルムを素早く重ねて、セロハンテープでずれないように止めておく。そして太陽の光の下で数分間さらしておくことに。説明書には、晴れの日で2〜3分と書いてあるので、曇りの日の今日は10分ぐらいやればいいのだろうか。取りあえず、多少露光させすぎても大丈夫だろうと思い、10分間放置してみた。
その結果は――露光させすぎて失敗。指紋が分からないぐらいになってしまった。基板1枚しかないのに……。取りあえず、この日はあきらめて追加注文することにした。待つこと3日で再チャレンジ。
この日は天気が良く太陽の光に2〜3分ぐらい当てたら、基板の色が変わっているのが分かった。恐らく感光している状態のはずなので引き上げる。すぐに、基板を現像するために現像液につけて現像処理を行う。水洗いして乾かしたら、次はエッチング処理。
エッチング液に10分ぐらい浸しておくと、基板が徐々に変化していく。銅が溶け出しているようだ。時折取り出して基板をさわってみると、指紋の部分に凹凸が生まれてきた。
磨いていないので見た目は悪く、写真だと指紋の凹凸の細かい部分はよく見えないが、いい感じで指紋の型ができた。
基板として使うには、もう少し処理を行う必要があるようだが、今回の目的は型を作るだけなのでここまでに。
■ゼラチンでグミを作る
グミなんて何年か作ってないので、レシピサイトからグミの作り方を調べる。ゼラチンと果汁でできているようだ。おいしく食べたいわけではないので、今回は果汁や砂糖は省いて水で作ることにした。
材料は家の食料庫にあった粉ゼラチンを失敬。粉ゼラチンに同量程度のお湯を加えて混ぜると、ドロッとしたグミのもととなる液ができた。本当は粉が残っていたら、完全に溶かすために電子レンジにかけるといいみたい(写真は完全に溶ける前にやってしまったもの)。
グミのもとを基板の指紋の上にかけて、グミを固めるために基板ごと冷蔵庫へ入れる。基板の熱伝導率が良いせいか、10分もしたらすぐに冷えてグミが固まった。ぶよぶよしている。
できたグミの表面をさわってみると、手の指を直接触るよりも指紋の凹凸がはっきりと分かる。
■もっと簡単に指の型を取って、グミ指を作る
グミ指を試してみたいだけなら、もっと手軽に試すことができる。それは、指から直接型を取る方法だ。
手順はこんな感じで、基板で作るグミ指よりも簡単。
- 指の型を取る
- ゼラチンでグミのもとを作る
- 2.のグミのもとを1.の型に流し込む
- 冷蔵庫で冷やす
- 型からグミを取り出して完成
指の型を取るために使ったのは、「おゆまる」という80度以上のお湯で柔らかくなって自在に整形可能なゴムのような素材です。
少し熱いけどガマンしながら自分の指の第1関節ぐらいまで巻き付けていく。うまく指をカバーできたら、指ごと水で冷やして固める。
固まったら指を抜くと、型が完成する。固まったおゆまるは結構丈夫で、さわっても型くずれなどしないほどだ。
完成した指の型に、ゼラチンを溶かして作ったグミのもとを流し込んでいく。型が倒れないように冷蔵庫に入れて、冷やして固める。
固まったころ合いを見計らって冷蔵庫から出す。グミは型から簡単に抜けないので、型をカッターで切って取り出すことにした。
■グミ指を使って指紋認証デバイスをだます
早速作ったグミ指を手近にあった指紋認証デバイスで試すことにした。
- 指の全面を押し当てるタイプのもの(エリア・センサー)
- 指をスライドさせるタイプのもの(ライン・センサー)
手近にあったのは、上記の2種類の指紋認証デバイス。エリア・センサーを1種類、ライン・センサーを2種類の計3種類で試してみた。
実験の方法は、あらかじめ私の指紋を登録しておいて、次に採取した指紋から作ったグミ指と、型を取って作ったグミ指の2種類を指先に付けるか、指で持つ形で使って、最大10回までの試行で認証をクリアすることができるかを試すことにした。
【注】
3種類しか実験していませんので、結果には偏りがあります。ほかの指紋認証デバイスで同様の結果が出るかどうかは分かりません
実験結果はこのようになった。
グミ指A | グミ指B | |
---|---|---|
a)エリア・センサー | ○(9) | ○(9) |
b)ライン・センサー1 | ○(3) | × |
c)ライン・センサー2 | × | × |
グミ指A:採取した指紋から作ったグミ指 グミ指B:型を取って作ったグミ指 ○:10回までの試行で認証をクリア(カッコ内は成功した回数) ×:10回の試行でも認証できず |
エリア・センサーの場合は、グミ指をべったりと置くだけで認証を行うことができるが、ライン・センサーの場合は、指を均一の圧力と速度でスライドさせて読み込ませなければならないので、グミ指の扱いが難しい。
特にグミ指Bは、圧力のかけ方が難しい。薄く切って、グミ指Aと同様に指に貼り付けて実験すればよかったかもしれない。
指紋認証用のデバイスもさまざまな方式があるようで、センサーには静電容量方式や光学式、感圧式などがあり、指紋の識別方式には特徴点抽出方式やパターンマッチング方式、周波数解析方式などがある。
ライン・センサー1も2も同じ方式のセンサーを用いているので、実験結果に差が出たのはセンサーの性能の差ではなく、センサー周りの障害物の形状によるものが大きいと考えている。指紋を読み込んだときにスキャン画像が画面に出るが、ライン・センサー2の場合には途中が途切れていたり、強く当たりすぎて黒塗りになったりしていた。グミ指がうまくセンサーに接地できていないようだ。グミ指の硬さなども考慮すべき要素のようだ。
■グミ指でだますことができる指紋認証デバイスもある
実験の結果から指紋認証デバイスによっては、グミ指を使うことで簡単に突破できることが分かった。また、市販の指紋認証デバイスのほとんどは突破できるという記事も見掛けたことがある。
グミ指が話題になったのは数年前なので、指紋認証デバイスは改良されているようで、生体反応が検知できる技術というのはいくつかあるようだ。ただそういった技術を搭載することでコストが上がるようなので、安価な指紋認証デバイスとしてはしばらく残るのではないだろうか。
もし少しでもセキュリティ強度を高めたいのならば、指紋認証デバイスだけではなく別の認証を組み合わせることも検討すべきだ、ということにしよう。
来年の夏休みの自由研究あたりにいかがでしょうか。ちなみにグミ指は、実験を繰り返して温まってくるとベタベタと溶け始めるので、冷蔵庫から出して適温でご利用ください。
なお、使用後はスタッフがおいしくいただきました(?)。
Profile
上野 宣(うえの せん)
株式会社トライコーダ代表取締役
ネットワーク・サーバー セキュリティ診断、セキュリティ対策・運用改善コンサルティングを主な業務としている。
近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記」
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.