TSBは9月からモバイルバンキングアプリに虹彩スキャン技術を導入する計画を発表した。
この動きにより、英国の大手銀行は欧州で初めて虹彩スキャン技術を導入することになる。
TSBの虹彩認識技術 [出典: TSB]
一般的に銀行業務における生体認証は近年一般的になり、指紋認証が好まれる方法の一つとなっている。これは主に、2013年にAppleがTouchIDを発売して以来、高級スマートフォンに指紋リーダー技術が搭載されたことによる。音声認識は銀行業界の他の分野、特にコールセンターで使用されている。
TSBの技術はサムスンの技術に基づいており、最新のSamsung Galaxy S8を所有する顧客のみが虹彩認証を使用してTSBの口座にアクセスできます。同銀行は既に指紋認証によるログインをサポートしています。
TSBは次のように述べている。「Samsung Galaxy S8またはS8+スマートフォンをお持ちのお客様は、2017年9月からSamsung Pass虹彩スキャナーを使用してTSBモバイルバンキングアプリのロックを解除できるようになります。TSBの一般顧客は、長いIDやパスワードを覚える必要がなく、指紋(既存機能)または虹彩スキャナーを使用して銀行サービスにアクセスできるようになります。」
TSBの最高情報責任者、カルロス・アバルカ氏は、虹彩認証は他の生体認証よりも安全だと述べた。「指紋が40種類であるのに対し、虹彩認証は266種類もの異なる特徴を活用できます」とアバルカ氏は述べた。
「虹彩認証により、TSB モバイル アプリを一目見るだけでロック解除できるようになります。つまり、ID、パスワード、覚えておくべき情報はすべて過去のものになるということです。」
同銀行によると、この技術はセキュリティと利便性を両立させるという。TSBの広報担当者によると、顧客は虹彩スキャンアプリを経由してログインした後、パスワードまたは暗証番号の入力が必要となる。この技術の利用は任意であり、他の口座アクセスオプションは引き続き提供される。
カオス・コンピュータ・クラブのドイツ人ハッカーたちは最近、端末所有者の目の写真とコンタクトレンズを使って、サムスンギャラクシーS8の虹彩スキャナーを欺くことに成功した。TSBによると、このシステムは生体認証だけでなく、登録手続き中にスマートフォンにプッシュされるデジタル証明書も利用しているため、ハッカーが銀行の認証制御を本気で回避しようとするには、標的の虹彩の高解像度画像だけでなく、スマートフォンも必要になるという。
セキュリティ専門家はこの動きを慎重に歓迎し、生体認証は有用ではあるものの、決して無敵ではないと指摘した。生体認証によるセキュリティはもはやスパイ映画やSF映画だけのものではない。この技術はパスワードのみよりも安全ではあるものの、決して万能薬ではない。
SecureDataのCTO兼共同創設者であるエティエンヌ・グリーフ氏は、次のようにコメントしています。「TSBのような企業が、脆弱で簡単に破られてしまうパスワードの代替手段を模索しているのは喜ばしいことです。しかし、ハッカーは生体認証に精通しており、ユーザーのデータを入手しようとする試みを止めることはできません。生体認証セキュリティは過去にもハッキングされており、指紋がコピーされたり、声が真似されたり、虹彩スキャンソフトウェアが騙されたりする例は数え切れないほどあります。」
指紋スキャナーへの攻撃は長年にわたり複数回記録されています。HSBCの音声認識セキュリティシステムは、最近、BBCのジャーナリストとその兄弟によって不正に操作されました。
「生体認証は潜在的な攻撃から完全に免れるわけではないため、ユーザー認証の唯一の手段として頼るべきではありません」と、インターシードの最高経営責任者リチャード・パリス氏は述べています。「生体認証を単独で使用するのではなく、企業は3つの異なる要素、すなわち所有物(スマートフォンなど、ユーザーが持っているもの)、知識(PINなど、ユーザーが知っているもの)、そして固有性(虹彩スキャンなど、ユーザー自身の性質)を組み合わせた強力な認証方法を検討する必要があります。」
「これにより、企業はサービスにアクセスしている人物が本人であることを確認し、さらに、これらの要素のいずれかが欠落していたり間違っていたりした場合に、個人がアクセスを試みることができる回数を制限することができます。」
認証データを保管する企業は、侵害からの回復が困難であるため、その保護に対する責任がより重くなっています。指紋や虹彩パターンは、パスワードやクレジットカードとは異なり、取り消しや変更ができません。「間もなく取締役がGDPR遵守の責任を負うことになるため、現在導入されているセキュリティ技術と、消費者をより適切に保護する方法について、より深く検討する必要があります」と、SecureDataのGreeff氏は結論付けています。®
