基本情報技術者試験「生体認証」の問題
W社のスマートフォン業務アプリは顔認証でログインできる。ところが利用者の顔写真をかざすと認証が通ってしまう事例が報告された。本人になりすました不正ログインを防ぐために、認証方式へ加えるべき機能はどれか。
ア認証に失敗した回数を利用者ごとに数え、一定の上限を超えたらアカウントを一時的にロックする。
イ登録済みの顔データを定期的に取り直し、加齢や容姿の変化にも合わせて照合できるようにする。
ウまばたきや顔の立体感・反応の有無から、提示されたものが生きた人物かどうかを見分ける処理を加える。
エ周囲が十分明るいことを認証の条件とし、暗い場所では認証そのものを受け付けないようにする。
正解
ウ.まばたきや顔の立体感・反応の有無から、提示されたものが生きた人物かどうかを見分ける処理を加える。
問題は『写真をかざすと認証が通る』、すなわち提示物が生きた本人か偽装物かを区別できない点である。生体検知(ライブネス判定)は、まばたきや顔の立体感・反応などから生きた本人かを判定し、写真や動画による偽装を検出して拒否する。なりすましの手口そのものに直接対応する。
?選択肢ごとの解説
ア ×失敗回数によるロックは総当たり的な試行に有効だが、写真で一発で認証が通る本件では失敗が生じず発動しない。
イ ×登録データの更新は本人の容姿変化への追従であり、写真による偽装を見破る能力とは無関係である。
ウ ○問題は『写真をかざすと認証が通る』、すなわち提示物が生きた本人か偽装物かを区別できない点である。生体検知(ライブネス判定)は、まばたきや顔の立体感・反応などから生きた本人かを判定し、写真や動画による偽装を検出して拒否する。なりすましの手口そのものに直接対応する。
エ ×明るさ条件の付加は読取り品質の話で、明るい場所であれば写真でもなお認証が通るため、なりすましを防げない。
✎くわしく
生体認証のなりすまし(提示攻撃)対策にはライブネス判定が重要である。これは指紋の脈動や温度、顔のまばたき・立体構造・反射などから生体か否かを判定し、偽造物(写真・指紋膜・動画)を排除する。認証精度(FRR/FAR)とは別軸の『提示物の真正性』を担保する機能である。
✓本番での押さえどころ
試験のコツ
写真・動画で生体認証が突破される(提示攻撃)が論点なら、生体検知(ライブネス判定)が正解。閾値やロックでは防げない。
覚え方
ライブネス=『生きているか確認』。写真は動かない・反応しないことを見破る。
よくある誤り
FARを下げる(閾値厳格化)やロックで防げると考えるが、写真は『本人そっくり』なので一致度では弾けず、生体性の判定が必要である。
情報セキュリティの他の問題
A社の経理担当者が、取引先を装ったメールに添付された請求書ファイルを業務PCで開いたところ、見慣れない画面が一瞬表示されて消…B社のWebサービスで、複数の利用者アカウントに対し正しいIDとパスワードの組合せによるログインが短時間に外部から成立する事…C社では、退職予定者や異動者のアカウント権限の見直しが滞り、業務上不要になった共有フォルダへのアクセス権が残り続けている。情…D社のファイルサーバがランサムウェアに感染し、業務ファイルが暗号化された。D社は日次でバックアップを取得しているが、バックア…E社の従業員に、取引先銀行を名乗る『口座情報の更新が必要』というメールが届いた。本文中のリンク先URLにアクセスすると、銀行…F社は社外の従業員が、カフェなどの公衆無線LANを利用して社内システムへアクセスしている。通信内容が経路上で第三者に盗聴・改…
この問題を、AIの8-ways解説つきで。
無料ではじめる →基本情報技術者試験の演習を、一問ごとに「なぜ」まで。まずは無料で。
ukamiru 過去問 · 基本情報技術者試験 · fe-b-sec-0047