検索
連載

セキュリティ自由研究:この夏、グミ指を作ってみないかSecurity&Trust ウォッチ(48)

Share
Tweet
LINE
Hatena

 指紋は指先にある紋様で、人ごと、指ごとに異なる。指先から出る皮脂などによって、この紋様が何かに付着することを指紋が付くという。その特徴を生かして、指紋は個人を特定することにもよく用いられる。事件の証拠として利用したり、入室管理や携帯電話のロックなどの認証でも用いられている。

 以前、指紋認証システムを食用のグミなどで作った指紋(グミ指)で突破することができるという記事を何かで見掛けて、一度試してみたいと思っていた。身近な材料で、最先端の技術が突破されるというギャップに驚きを感じた。今回は実際にこの目でグミのチカラを確認してみようというレポートである。

セキュリティ自由研究レポート

■採取した指紋からグミ指を作ろう

 指紋はそこら中に付いている。指紋は皮脂なので一度付着すると取れにくいようだ。とすると、指紋認証のための端末の近くにもその人の指紋が付いているはずだ。その付着した指紋を採取して、グミ指を作ってみよう。

指先の写真

 指紋を採取して、グミ指を作る手順はこんな感じ。

  1. 指紋を採取
  2. 採取した指紋をスキャナーで読み込む
  3. 指紋をネガポジ反転してフィルムに印刷
  4. プリント基板の上に3.のフィルムを重ねて露光
  5. 露光した基板を現像
  6. エッチング処理で基板の銅を溶かす
  7. ゼラチンでグミのもとを作る
  8. 7.のグミのもとを基板の上に流し込む
  9. 冷蔵庫で冷やす
  10. 基板からグミをはがして完成

■指紋採取、気分は刑事ドラマ

 指紋採取なんて、刑事ドラマなどでしか見たことがない人が多いはず。私も耳かきのぼんてんのようなものを使って、ナゾの粉をパタパタやると指紋が浮き出てくるぐらいの知識しかなかった。

 指紋採取について少し調べてみると、そのナゾの粉はどうやらアルミの粉末らしい。早速近所の東急ハンズに探しに行くと、DIYコーナーに売っていたので、お買い上げ。

 自分の指紋を採取するだけなので、量はほんのちょっとでいいのだが、小瓶に使い切れないぐらいのアルミの粉が入っている。軽く100人分ぐらいの指紋が採れそう。それより、うっかりこぼして吹き飛ばしたりして、粉じん爆発しないように気を付けなきゃ。

アルミの粉のほかの使い道って何だろう……
アルミの粉のほかの使い道って何だろう……

 材料は手に入れたので、次は指紋を集めてみよう。指が触れたところなら指紋は残っていそう。

 取りあえず、身近にあるもので指紋が採りやすそうなiPodの裏ぶたにしてみた。指紋が付きやすいというイメージで、真っ先に思いついたのがコレでした。

わざとらしいぐらい指紋が付いている
わざとらしいぐらい指紋が付いている

 わざとらしく付いた指紋の跡に、ドラマで見たあのシーンを思い出しながら、アルミの粉をiPodに振りかけてみた。

 筆を使って余分な粉を取り除いていくと、徐々に指紋が浮かび上がってくる。ぼんてんを使って丁寧に作業をするまでもなく、意外と指紋に付いたアルミの粉は簡単にははがれないようだ。普通の絵筆でうまく作業することができた。

アルミ粉末で細部までクッキリと浮き出てきた
アルミ粉末で細部までクッキリと浮き出てきた

■採取した指紋をスキャンしてパソコンで編集

 次に、このアルミの粉で浮かび上がった指紋をスキャナー経由でパソコンに取り込むために、梱包用の透明テープをiPodに丁寧に貼り付けて、はがす。それを紙に貼り直してスキャナーで読み取る。

読み取ったものはこちら。リンゴのマークまでくっきり
読み取ったものはこちら。リンゴのマークまでくっきり

 第1弾から鮮明に写っていて問題なさそうだったが、念のためもっと指紋を集めることにする。

 集めた指紋を画像編集ソフトで編集して基板の大きさに合うように配置。そして、ネガポジ反転してOHPフィルムに印刷して準備完了。OHPフィルムなんて10年ぶりぐらいに使った気がする。

インクジェット用のOHPフィルムは1枚100円ぐらいと結構高い
インクジェット用のOHPフィルムは1枚100円ぐらいと結構高い

■指紋の型をプリント基板で作る

 プリント基板なんて10年以上前に学校の実習か何かで作ったきりだ。道具なんて持っているはずもなく、一式そろえなければならない。

一式そろったサンハヤトプリント基板工作キットPK-6
一式そろったサンハヤトプリント基板工作キットPK-6
基板は1枚しかないので慎重に!
基板は1枚しかないので慎重に!

 感光基板は写真を現像するのと似たような仕組みで、フィルムを重ねて露光させることで基板を作ることができる。

 感光基板を袋から取り出し、先ほど作ったOHPフィルムを素早く重ねて、セロハンテープでずれないように止めておく。そして太陽の光の下で数分間さらしておくことに。説明書には、晴れの日で2〜3分と書いてあるので、曇りの日の今日は10分ぐらいやればいいのだろうか。取りあえず、多少露光させすぎても大丈夫だろうと思い、10分間放置してみた。

 その結果は――露光させすぎて失敗。指紋が分からないぐらいになってしまった。基板1枚しかないのに……。取りあえず、この日はあきらめて追加注文することにした。待つこと3日で再チャレンジ。

 この日は天気が良く太陽の光に2〜3分ぐらい当てたら、基板の色が変わっているのが分かった。恐らく感光している状態のはずなので引き上げる。すぐに、基板を現像するために現像液につけて現像処理を行う。水洗いして乾かしたら、次はエッチング処理。

エッチング処理中
エッチング処理中

 エッチング液に10分ぐらい浸しておくと、基板が徐々に変化していく。銅が溶け出しているようだ。時折取り出して基板をさわってみると、指紋の部分に凹凸が生まれてきた。

エッチング処理した基板
エッチング処理した基板

 磨いていないので見た目は悪く、写真だと指紋の凹凸の細かい部分はよく見えないが、いい感じで指紋の型ができた。

 基板として使うには、もう少し処理を行う必要があるようだが、今回の目的は型を作るだけなのでここまでに。

■ゼラチンでグミを作る

 グミなんて何年か作ってないので、レシピサイトからグミの作り方を調べる。ゼラチンと果汁でできているようだ。おいしく食べたいわけではないので、今回は果汁や砂糖は省いて水で作ることにした。

 材料は家の食料庫にあった粉ゼラチンを失敬。粉ゼラチンに同量程度のお湯を加えて混ぜると、ドロッとしたグミのもととなる液ができた。本当は粉が残っていたら、完全に溶かすために電子レンジにかけるといいみたい(写真は完全に溶ける前にやってしまったもの)。

 グミのもとを基板の指紋の上にかけて、グミを固めるために基板ごと冷蔵庫へ入れる。基板の熱伝導率が良いせいか、10分もしたらすぐに冷えてグミが固まった。ぶよぶよしている。

確かにグミだが、おいしそうとはいいがたい
確かにグミだが、おいしそうとはいいがたい

 できたグミの表面をさわってみると、手の指を直接触るよりも指紋の凹凸がはっきりと分かる。

グミ指A。指に付けると、誰でも私の指紋になる
グミ指A。指に付けると、誰でも私の指紋になる

■もっと簡単に指の型を取って、グミ指を作る

 グミ指を試してみたいだけなら、もっと手軽に試すことができる。それは、指から直接型を取る方法だ。

 手順はこんな感じで、基板で作るグミ指よりも簡単。

  1. 指の型を取る
  2. ゼラチンでグミのもとを作る
  3. 2.のグミのもとを1.の型に流し込む
  4. 冷蔵庫で冷やす
  5. 型からグミを取り出して完成

 指の型を取るために使ったのは、「おゆまる」という80度以上のお湯で柔らかくなって自在に整形可能なゴムのような素材です。

百均ショップでも売っているらしい
百均ショップでも売っているらしい

 少し熱いけどガマンしながら自分の指の第1関節ぐらいまで巻き付けていく。うまく指をカバーできたら、指ごと水で冷やして固める。

 固まったら指を抜くと、型が完成する。固まったおゆまるは結構丈夫で、さわっても型くずれなどしないほどだ。

おゆまるで作った指の型
おゆまるで作った指の型

 完成した指の型に、ゼラチンを溶かして作ったグミのもとを流し込んでいく。型が倒れないように冷蔵庫に入れて、冷やして固める。

 固まったころ合いを見計らって冷蔵庫から出す。グミは型から簡単に抜けないので、型をカッターで切って取り出すことにした。

グミ指B。かなり指っぽい。指紋もクッキリ
グミ指B。かなり指っぽい。指紋もクッキリ
必要ないけど爪までリアル。怖い
必要ないけど爪までリアル。怖い

■グミ指を使って指紋認証デバイスをだます

 早速作ったグミ指を手近にあった指紋認証デバイスで試すことにした。

  • 指の全面を押し当てるタイプのもの(エリア・センサー)
  • 指をスライドさせるタイプのもの(ライン・センサー)

 手近にあったのは、上記の2種類の指紋認証デバイス。エリア・センサーを1種類、ライン・センサーを2種類の計3種類で試してみた。

 実験の方法は、あらかじめ私の指紋を登録しておいて、次に採取した指紋から作ったグミ指と、型を取って作ったグミ指の2種類を指先に付けるか、指で持つ形で使って、最大10回までの試行で認証をクリアすることができるかを試すことにした。

【注】

3種類しか実験していませんので、結果には偏りがあります。ほかの指紋認証デバイスで同様の結果が出るかどうかは分かりません


 実験結果はこのようになった。

グミ指A グミ指B
a)エリア・センサー (9) (9)
b)ライン・センサー1 (3) ×
c)ライン・センサー2 × ×
グミ指A:採取した指紋から作ったグミ指
グミ指B:型を取って作ったグミ指

○:10回までの試行で認証をクリア(カッコ内は成功した回数)
×:10回の試行でも認証できず

 エリア・センサーの場合は、グミ指をべったりと置くだけで認証を行うことができるが、ライン・センサーの場合は、指を均一の圧力と速度でスライドさせて読み込ませなければならないので、グミ指の扱いが難しい。

 特にグミ指Bは、圧力のかけ方が難しい。薄く切って、グミ指Aと同様に指に貼り付けて実験すればよかったかもしれない。

 指紋認証用のデバイスもさまざまな方式があるようで、センサーには静電容量方式や光学式、感圧式などがあり、指紋の識別方式には特徴点抽出方式やパターンマッチング方式、周波数解析方式などがある。

 ライン・センサー1も2も同じ方式のセンサーを用いているので、実験結果に差が出たのはセンサーの性能の差ではなく、センサー周りの障害物の形状によるものが大きいと考えている。指紋を読み込んだときにスキャン画像が画面に出るが、ライン・センサー2の場合には途中が途切れていたり、強く当たりすぎて黒塗りになったりしていた。グミ指がうまくセンサーに接地できていないようだ。グミ指の硬さなども考慮すべき要素のようだ。

ライン・センサータイプの指紋認証デバイス
ライン・センサータイプの指紋認証デバイス

■グミ指でだますことができる指紋認証デバイスもある

 実験の結果から指紋認証デバイスによっては、グミ指を使うことで簡単に突破できることが分かった。また、市販の指紋認証デバイスのほとんどは突破できるという記事も見掛けたことがある。

 グミ指が話題になったのは数年前なので、指紋認証デバイスは改良されているようで、生体反応が検知できる技術というのはいくつかあるようだ。ただそういった技術を搭載することでコストが上がるようなので、安価な指紋認証デバイスとしてはしばらく残るのではないだろうか。

 もし少しでもセキュリティ強度を高めたいのならば、指紋認証デバイスだけではなく別の認証を組み合わせることも検討すべきだ、ということにしよう。


 来年の夏休みの自由研究あたりにいかがでしょうか。ちなみにグミ指は、実験を繰り返して温まってくるとベタベタと溶け始めるので、冷蔵庫から出して適温でご利用ください。

 なお、使用後はスタッフがおいしくいただきました(?)。

Profile

上野 宣(うえの せん)

株式会社トライコーダ代表取締役

ネットワーク・サーバー セキュリティ診断、セキュリティ対策・運用改善コンサルティングを主な業務としている。

近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。個人ブログは「うさぎ文学日記


「SecurityTrust ウォッチ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  2. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  7. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  8. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  9. 「ランサムウェアに一度感染したら、身代金を払ってもまた攻撃される」のはほぼ確実? ウィズセキュア調査
  10. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
ページトップに戻る