情報セキュリティ

基本情報技術者試験生体認証」の問題

情報セキュリティ情報セキュリティ難易度:hard
W社のスマートフォン業務アプリは顔認証でログインできる。ところが利用者の顔写真をかざすと認証が通ってしまう事例が報告された。本人になりすました不正ログインを防ぐために、認証方式へ加えるべき機能はどれか。
認証に失敗した回数を利用者ごとに数え、一定の上限を超えたらアカウントを一時的にロックする。
登録済みの顔データを定期的に取り直し、加齢や容姿の変化にも合わせて照合できるようにする。
まばたきや顔の立体感・反応の有無から、提示されたものが生きた人物かどうかを見分ける処理を加える。
周囲が十分明るいことを認証の条件とし、暗い場所では認証そのものを受け付けないようにする。
正解
まばたきや顔の立体感・反応の有無から、提示されたものが生きた人物かどうかを見分ける処理を加える。

問題は『写真をかざすと認証が通る』、すなわち提示物が生きた本人か偽装物かを区別できない点である。生体検知(ライブネス判定)は、まばたきや顔の立体感・反応などから生きた本人かを判定し、写真や動画による偽装を検出して拒否する。なりすましの手口そのものに直接対応する。

?選択肢ごとの解説

ア ×失敗回数によるロックは総当たり的な試行に有効だが、写真で一発で認証が通る本件では失敗が生じず発動しない。
イ ×登録データの更新は本人の容姿変化への追従であり、写真による偽装を見破る能力とは無関係である。
ウ ○問題は『写真をかざすと認証が通る』、すなわち提示物が生きた本人か偽装物かを区別できない点である。生体検知(ライブネス判定)は、まばたきや顔の立体感・反応などから生きた本人かを判定し、写真や動画による偽装を検出して拒否する。なりすましの手口そのものに直接対応する。
エ ×明るさ条件の付加は読取り品質の話で、明るい場所であれば写真でもなお認証が通るため、なりすましを防げない。

くわしく

生体認証のなりすまし(提示攻撃)対策にはライブネス判定が重要である。これは指紋の脈動や温度、顔のまばたき・立体構造・反射などから生体か否かを判定し、偽造物(写真・指紋膜・動画)を排除する。認証精度(FRR/FAR)とは別軸の『提示物の真正性』を担保する機能である。

本番での押さえどころ

試験のコツ

写真・動画で生体認証が突破される(提示攻撃)が論点なら、生体検知(ライブネス判定)が正解。閾値やロックでは防げない。

覚え方

ライブネス=『生きているか確認』。写真は動かない・反応しないことを見破る。

よくある誤り

FARを下げる(閾値厳格化)やロックで防げると考えるが、写真は『本人そっくり』なので一致度では弾けず、生体性の判定が必要である。

情報セキュリティの他の問題

この問題を、AIの8-ways解説つきで。

基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。

無料ではじめる →

ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0047

【基本情報技術者試験】生体認証の問題 — 解答・解説|ukamiru 過去問