グラフィック画像 誰もが知っているお決まりのパターンだ。悪党たちが金庫室に突入し、金庫室の前に立つ警備員を銃で撃ち殺す。「ちくしょう!」と主犯格の悪党が言う。「生体認証スキャナーだ、絶対に入れないぞ!」 彼の最も年老いた手下が振り返り、死んだ警備員の腕を掲げる。「ああ、入れる…」
Reg の読者が、自分の Samsung Galaxy A20 スマートフォンと、クレーン関連の産業事故により手から切断された人差し指の先端を使って、この場面を現実世界で(一部)再現しました。
スペイン在住の半引退監査人、キエラン・ヒギンズさんは、携帯電話の指紋センサーが2週間前に失った指先の指紋を読み取り、喜んでデバイスのロックを解除したことをエル・レグさんに見せた。
「新品のピカピカの何とかに指紋を登録する、という巧妙な計画を思いついたんだ」とヒギンズ氏は語った。彼は切断後に服用していた鎮痛剤のカクテルのおかげで、この奇妙な計画の間はアルコールを一切摂取していなかったと断言した。「(指先を)薬用アルコールの墓場から取り出し、乾かして…やった!…死んだ指を携帯電話に登録できたんだ」
私たちはこれをリアルタイムで見ましたので、あなたは見る必要はありません(クリックして拡大)
私たちは信じられないと言い放ちました。それでヒギンズ氏は、クレーン事故からちょうど2週間後、本紙特派員とビデオ通話をしました。すると、骨が通っていた場所の真ん中に穴が開いた(「潰れていた」とヒギンズ氏は説明した)あの恐ろしい、縮んだ青白い物体が、携帯電話のロックを解除したのです。
私たちは彼を信じませんでした。それで彼はもう一度同じことをして、またロックを解除しました。そしてまた同じことを。そして、その数字のクローズアップ写真を見せてくれました。
問題の数字とオーナーのキエラン・ヒギンズ
これが本物だと断言するのは不注意かもしれませんが、ヒギンズ氏のスペインの田舎の住居まで飛行機で行かない限り、スカイプ越しに彼がこの恐ろしい行為を行うのを見ることしかできません。これは信憑性があると思います。
しかし当然ながら、この驚くべき出来事は疑問を投げかけます。まず第一に、なぜ切断された指先を保管しておくのでしょうか?きちんと埋葬したり、ゴミ箱に捨てたりしないのでしょうか?
「だから、証拠とかを保管しておくのは常に良い考えだ」とヒギンズ氏は語った。彼はキャリアの大半を保険会社とPCI-DSSコンプライアンスの対応に費やしてきたという。「いつ厄介な事態になるか分からない。だから、誰かに先に聞かれた場合に備えて保管していたんだ…だって、保険会社は支払いをしたくないからね」
どうやってそれを保管していたのだろうか?病院はきっと再接着を試み、その後処分してくれたはずだ。ヒギンズ氏の説明によると、事故は彼が住むスペインの田舎で起きた。最寄りの医療機関は薬局だったが、彼は(おそらく賢明ではなかったのだが)「出血している切断面」の痛みに耐えながら、自力でそこへ向かった。
医療緊急事態への備えがなかった薬局は、患者を「紙で包んで」病院に行くように指示しました。20キロほど車で移動した後、男性は適切な治療を受けることができました。医師たちは指の切断部分を治療し、包帯を巻き、鎮痛剤と抗生物質を処方しました。
「それから、病院で待っている間、ポケットに手を入れると、手袋の中に指が入っていて、先端に小指用のパーツがあるのに気づきました」と、現在自宅で療養中のヒギンズさんは語った。「ケーブルに押しつぶされて損傷がひどいと言われました」
切断された指先の裏側。キエランは骨が潰れていたため、空洞になっていると説明した。
指先は現在、「薬用」アルコールの入った瓶の中に入っています。
「もう治ったと思ったんです」とヒギンズさんは認めた。「クレーンのフックに引っかかったのか、ケーブルに引っかかったのかよくわからなかったので、フックに完全に押しつぶされたんだと思いました。とにかく怪我を治したかったんです」
彼の妻はそれをできるだけ早く埋葬したかったようです。
切断された指先を読み取ってロックを解除するギャラクシーA20の製造元サムスンは、コメントの要請に応じなかった。
機械による生体検知
しかし、タレス社の生体認証デバイスマネージャーであるルーカス・フランセーズ氏は、そのような懸念は抱いておらず、次のように語っている。「今回のケースでは技術的な問題はありません。特定の電話機のID登録に使用した指は、認証に使用した指と同じなので、システムは正常に動作しました。」
それでいいのね。でも、本当にそうなのか?スキャンしている手足が生きているか死んでいるかを見分けられる生体認証技術は存在するはずなんだけど。
フランチェーゼ氏は次のように述べています。「市場では『生体指検知』という用語が一般的です。これは、ゴムやゼラチンなどで作られた偽造指を阻止し、生死を問わず本物の指を検知できるようにします。現在、消費者向けデバイスに指が生きているかどうかを検知できる技術は導入されていませんが、そのような技術は存在します。例えば、当社のAIベースの生体検知ソリューションは、ISO/IEC 30107-3規格に準拠した独立したテストと検証を受けており、指が本物であろうと偽物であろうと、生体認証による提示攻撃を検知できます。」
消費者向けレベルの生体認証は死者によって騙される可能性があるという断片的な情報と引き換えに、私たちは彼にその宣伝を許可します。
バイオメトリクス研究所はタレスの見解に同意し、The Register誌に会員向けの「プレゼンテーション攻撃検知」(つまり、生体認証の偽装)に関する内部説明資料を提示した。資料の1つには次のように書かれていた。
手頃な価格のSamsung Galaxy A20シリーズが、このより複雑(かつ高価)な技術を採用する可能性は低いようです。端末本体は1.6GHzのExynos 7884オクタコアプロセッサと3GBのRAMを搭載し、Android v9(Pie)を搭載しています。一方、問題の指紋スキャナーは背面に搭載されています。
SamsungのSM-A205シリーズ端末に適合するサードパーティ製の交換用スキャナーは、よくあるオンラインの雑貨屋で2ポンドから5ポンド程度で入手できます。これらのスキャナーにリンクされているブランド名は、典型的な「今日あったら明日にはなくなる」中国の販売業者のものなので、これらの部品に最先端の技術が搭載されている可能性は低いでしょう。
一般消費者向けの指紋認証技術には、生体信号を検出する機能が備わっていないことが多い。20年前、グミベアのキャンディーを使って指紋リーダーを突破する人がいたが、The Registerの生体認証センサーを作動させるデスクにいる我々の知る限り、これまで誰もこれを実行し、公に認めたことはない。
死者の手を使って携帯電話のロックを解除する試みはこれまでにも行われてきたが、最も有名なのは2018年、フロリダ州の警察官2人が何らかの方法で遺体安置所に侵入し、冷蔵庫から死体を引き出して携帯電話のロックを解除しようとしたケースだ。
キーランの元指については、先週末にあの世(あるいはスペインの田舎の野生動物の喉元)に送られる予定だったと聞いています。
何度も読んだり映画で見たりしたことがあるでしょうが、確率的に考えると、どうやら可能なようです。実際に、死んだ指を使ってSamsung Galaxy A20のロックを解除できるのです。お昼のソーセージロールを楽しんでくださいね。もし誰かが世界パスワードデーについて話しかけてきたら、生体認証でさえも絶対確実ではないことを忘れずに伝えてください。®
