Appleは、新型フラッグシップスマートフォン「iPhone 5s」に指紋認証リーダーを搭載し、「Touch ID」と呼ぶことを発表しました。この技術について知っておくべきことをご紹介します。
Apple の Touch ID 指紋センサーはどのように機能しますか?
指紋センサー技術にはいくつかの種類がありますが、最も一般的なのは光学式と静電容量式のリーダーです。
光学式リーダーはデジタルカメラで指紋を撮影します。Appleは、より興味深い静電容量式リーダーを選択しました。
静電容量式指紋リーダーは、皮膚の便利な特性を利用しています。指紋がある皮膚の表層(真皮)は非導電性ですが、その裏にある皮下層は導電性があります。iPhoneの指紋センサーに触れると、指紋の凹凸によって生じるわずかな導電性の違いが測定され、その測定値に基づいて画像が形成されます。
Appleはこのセンサーをホームボタンに組み込み、リング状のものを追加することでセンサーをオンにし、信号エラーを軽減しています。このリングは指に微量の電流を流すことで、信号を増幅・クリーンアップしているのではないかと推測しています。
素晴らしいデザインですね。これまで使ってきた他のポータブルリーダーのほとんどは光学式で、騙されやすく(良質なコピーならうまく機能することもあります)、壊れやすく、(ガラスの汚れなどの影響で)エラーが発生しやすいという欠点がありました。
iPhone に指紋は保存されますか?
Appleは「いいえ」と言っていますが、私の考えではこうです。通常、指紋はスキャンされ、数学的アルゴリズムにかけられて指紋テンプレートが作成されます。このテンプレートは指紋の一部を表現したもので、保存された画像ではありません。
さらに優れた点として、ほとんどの高度なシステムは、パスコードと同様に、このテンプレートを暗号ハッシュアルゴリズムにかけ、その結果を保存します。さらにセキュリティを強化するために、ハッシュ化の過程で一意の数字またはランダムな数字と組み合わせることで、復元をさらに困難にします。iPhoneはすでにパスコードでこの処理を行っているので(ハードウェアに埋め込まれた特別なデバイスIDを使用)、Appleは指紋テンプレートにも同じプロセスを使用していると思われます。
指紋をスキャンするたびに、携帯電話は同じアルゴリズムを実行し、その結果を保存されているハッシュと比較します。実際の指紋は保存されないだけでなく、たとえNSAが携帯電話を入手したとしても、復元するのは非常に困難、あるいは不可能でしょう。
ここではいくつかのことを想定していますが、それらは Apple が現在パスコードを管理している方法に基づいた、根拠のある想定です。
指紋はパスコードよりも安全ですか?
指紋はパスコードよりも安全性が高い点と低い点があります。指紋は推測が事実上不可能であるため、より安全です。一方、一度盗まれたら一生盗まれてしまうため、安全性が低くなることもあります。
指紋の保存方法にもよります。テンプレートが大きく(つまり、どんなパスコードよりも長く)、適切にハッシュ化、ソルト化され、保存されていれば、パスコードよりも間違いなく安全です(ただし、モロッコのカジノでSHIELDエージェントがあなたのウォッカマティーニグラスからテンプレートを盗み出すまでは)。
最後に、パスコードと指紋はどちらも依然として単一要素認証の一種です。つまり、システムに侵入するにはたった一つの要素だけで十分です。真に安全なシステムには、パスコードと指紋といった複数の要素が必要です。
これは、iOS パスコードがもう必要ないことを意味しますか?
いいえ、パスコードは今後も残ります。まず、指を紛失したり(あるいは間違った場所で切ったり)、センサーを壊してしまったりした場合に、iPhoneを復元する方法が必要になります。しかし、実質的には、パスコードを日常的に使う必要がなくなるでしょう。Appleが代替の復旧オプションをどのように扱うかを見守る必要がありますが、おそらく復旧パスコードは引き続き使用されるでしょう。
企業ユーザーも引き続きパスコードの使用を求められる可能性があり、指紋盗難の標的になる可能性のある人々 (国防総省は現在 iPhone を使用していることを思い出してください) は、パスコードだけに頼りたくないでしょう。
iCloud と iTunes Store のパスワードはどうなりますか?
Appleのクラウドサービスには複数のシステムからアクセスしますが、すべてのシステムに指紋センサーが搭載されているわけではないため、パスワードは依然として必要です。しかし、Appleの発表や発表内容から判断すると、iPhone 5sでの購入や操作の認証に指紋を使用できるようです。おそらくAppleはiCloudとiTunes StoreのパスワードをiPhoneのキーチェーンに保存し、指紋を使ってアクセスを承認するでしょう。これは、OS XとiOSがこれまで保存されたパスワードを扱ってきた方法と似ています。また、指紋はデバイスから外部に漏れることはなく、クラウドにも保存されないというAppleの主張にも合致しています。
他のアプリやサービスでも私の指紋を使用できますか?
Appleは、他のアプリはTouch IDを利用できるものの、指紋データにアクセスすることはないと発表しています。繰り返しになりますが、これらのアプリはおそらくiOSキーチェーンを使用するでしょう。AppleはAPIを公開し、アプリがTouch IDセンサー自体にアクセスできるようにするかもしれません。あるいは、iOSに認証させて結果を渡す可能性の方が高いでしょう。最後に、Twitterなどの多くのアプリやサービスは、OAuthと呼ばれる標準規格を使用して、デバイス上でユーザー名やパスコードを公開することなくアクセスを許可しています。これは今後も変わりませんが、おそらく新しいAPI呼び出しが導入され、そのようなアプリがユーザーがスマートフォンのロックを解除したかどうか、そして誰かがアクセスできる状態に置かれていただけではないかどうかを確認できるようになるでしょう。
なぜこんなに面白いのでしょうか?
これが非常にエキサイティングな理由は2つあります。まず、テキストメッセージ送信などの簡単な操作をする際にパスコードを入力する必要がなくなることです。Appleが発表しているように、iPhoneユーザーのうちパスコードを使用しているのはわずか半数程度で、おそらく大半は単純な4桁のPINコードを使用しているでしょう。指紋認証ははるかに安全な選択肢であり、ホームボタンにリーダーを搭載することで、スワイプしてロックを解除するよりも便利になります。
これは、Appleがセキュリティを見えなくしているもう一つの例です。今後数年間で、ほとんどのiデバイスにTouch IDセンサーが搭載され、誰もが強力なセキュリティを手にするようになると言っても過言ではないでしょう。
しかし、これをさらに一歩進めてみましょう。指紋認証だけでは必ずしもパスコードよりも安全というわけではありませんが、指紋認証とセキュリティトークンを組み合わせることで、強力な認証方法となります。すでにiPhoneを銀行やDropbox、Google Authenticatorなどのサービスでセキュリティトークンとして利用している方もいるでしょう。これらのサービスは、アカウントに登録されているスマートフォンにワンタイムコードを送信するからです。
今後、これらのサービスはすべて、最終的には(Apple次第ですが)指紋とデバイスの両方を使って認証するオプションを備える可能性があります。Appleは、強力な生体認証技術を搭載した認証を、多くの消費者に提供しようとしているのかもしれません。Appleの発表では、携帯電話を鍵と見なしていると明確に述べられており、携帯電話と指紋をデジタルライフの鍵にするという方向性をAppleが目指していることが示唆されています。
そして、もしかしたらあなたの物理的な生活にも影響が出るかもしれません。ドアロック、ホームアラーム、決済カード、Passbookのような決済システム、その他様々なコードや認証情報がスマートフォンに保存され、Wi-FiやLTEから近距離Bluetoothプロトコルまで、あらゆる手段を使ってアクセスできるようになっているのです。Touch IDは長期的にはゲームチェンジャーとなる可能性があり、他のスマートフォンメーカーも同じような道を辿るでしょう。指紋でスマートフォンのロックを解除し、オンラインサービスや現実世界のサービスにアクセスすることが、いつの日か全く当たり前のことになるでしょう。
