すでにご存知かと思いますが、iPhone 5sの新しい指紋スキャナーを支える技術であるAppleのTouch IDが、ドイツのセキュリティ研究者グループによって週末に突破されました。ハッカーたちは、ごく普通のコンピュータ愛好家の家庭にあるような道具をほとんど使わずに、高解像度で撮影し、印刷してラテックスに転写した偽の指紋を、新品のiPhoneのセンサーに読み込ませたと主張しています。
もしこれが事実なら、Touch IDが悪意のある第三者から情報を安全に守る上でどれほど効果的か、深刻な疑問を投げかけることになるでしょう。しかし、こうした懸念があるにもかかわらず、Appleの指紋認証セキュリティシステムの有用性を軽視すべきではありません。
存在すること、持つこと、そして知ること
8月にMacworldに寄稿した記事でも触れましたが、指紋を使ってスマートフォンのロックを解除する仕組みは、指紋によってデータを、物理的に個人を一意に識別できるものに結び付けるというものです。パスワードは、ユーザーについて何も知らなくても推測・解読が可能ですが、指紋のような生体認証データは、元のデータにアクセスしない限り、再現することが不可能だと一般的に考えられています。
もっと正確に言えば、指紋はパスワードに取って代わるものではなく、パスワードと連携して機能するものです。たとえハッカーがパスワードを推測できたとしても、それに対応する指は入手できないという考え方です。理想的には、セキュリティをさらに強化するために、指紋(「あなた」であるもの)とパスワード(「知っているもの」)を、アクセスカードやSMSを受信できるデバイス(「所有するもの」)など、あなたが所有する第三のアイテムと組み合わせることをお勧めします。
問題
この観点から見ると、Touch IDが提供する保護機能は少々怪しく見えてきます。すでに多くの人が指摘しているように、ドイツの研究者たちがiPhoneの指紋センサーをいかに簡単に騙せたかを考えると、あなたの周囲に物理的にアクセスできる窃盗犯があなたの指紋を写真に撮り、それを使ってiPhoneのロックを解除するのは容易でしょう。(ちなみに、iPhone本体に使える指紋を残しておくのが心配な場合は、リスクを最小限に抑えるために、小指などあまり使わない指を登録しておくことをお勧めします。)
しかし、このシナリオには、ごく一部のユーザーを除いて、いくつかの欠点があります。例えば、たとえ窃盗犯が偽の指紋でiPhoneのロックを解除できたとしても、すべての情報を抜き出すのに十分な時間、あるいは少なくともiCloudのパスワードを変更するのに必要な時間、iPhoneを長時間操作し続けなければならず、そうすることでバックアップ、カレンダー、メールアカウントへのアクセスを試みることができるのです。これは、言うほど簡単ではありません。少なくとも、窃盗犯がiPhoneの所有者に知られていない限りは。
さらに、私が知っているほとんどの人と同じように、iPhone は常に手やポケットから離しておらず、すぐにその不在に気づくでしょう。その時点で、自分の情報が心配であれば、近くのコンピュータに駆け込み、「電話を探す」を使用してすぐにデバイスを無効にするでしょう。
もちろん、これでは、例えば嫉妬深い配偶者や意志の強い私立探偵などからあなたを守ることはできません。しかし、ハリウッドのフィクション以外では、そういった人物は、通常、あなたが仕事に出た後に自宅のコンピュータにアクセスしたり、携帯電話会社に電話してカスタマー サポートに最新の請求書のコピーを FAX で送るように頼んだりするなど、潜在的に犯罪につながる情報を入手するより簡単な方法を持っています。
悪い点ではなく良い点に焦点を当てる
現実世界では、こうしたデータ盗難を心配するのは、おそらくTouch IDを使うほど高度な知識とセキュリティ意識を持っていない人たちだけでしょう。もしそうでないとしても、彼らのデジタルライフには、映画『ミッション:インポッシブル』のような工作遊びよりも簡単に悪用できる脆弱性が山ほど潜んでいるはずです。
Touch IDは、私たち一般人のために作られました。つまり、隠し事は少ないものの、機会を捉えた攻撃には脆弱な人々です。多くの統計によると、北米では毎年何万台ものiPhoneが盗難されています。窃盗犯の視点から見ると、路上でスマートフォンをひったくるのは簡単でリスクが低く、大きな利益を得られる可能性があります。貴重な電子機器を手に入れられるだけでなく、ロックがかかっていなければ、深刻な被害をもたらすのに十分な個人情報を盗み見ることができるからです。(iOS 7のアクティベーションロックは、少なくとも窃盗犯がスマートフォンをデータ消去して転売することを困難にしてくれます。)
パスコードはこの問題に対する有効な解決策ですが、同時に不便さも伴います。マカフィーの最近の調査によると、実際にパスコードを有効にしているユーザーは3分の1にも満たないほどです。一方、Touch IDは非常に便利で、その未来的な魅力は使う楽しみも与えてくれます。つまり、多くのユーザーが初めて、ある程度のセキュリティでデータを保護できるようになる可能性があるということです。
失敗したマーケティング
結局のところ、AppleのマーケティングはTouch IDを一般の人々にうまく説明できていない。パスコードの代替として宣伝するのではなく、大多数のユーザーがデータ保護手段として選択している「何もない」状態からの代替として売り込んだ方が、Appleにとってより良い結果になっただろう。
実際には、Touch ID はほとんどの人にとって安全に使用できます。15 文字のパスワードほどではないかもしれませんが、4 桁のパスコードよりはおそらく安全で、何もないよりははるかに安全です。
