Windows 10の「Windows Hello」に「さようなら」を告げる企業の本音

https://techtarget.itmedia.co.jp/tt/news/1708/11/news01.html

同機能は、指紋や虹彩などの生体因子を認証要素に加えることで、セキュリティを強化する。ただし、デスクトップPCやモバイルデバイスから認証情報が漏えい、改ざんされてしまう可能性がある。ひとたび盗まれてしまった認証用の生体情報は、パスワードとは異なり、リセットが効かない。

特にユーザーをイライラさせている機能は、ユーザーが画面を拡大、縮小できる「拡大鏡」機能だ。ボストンのある大手法律事務所、同機能が原因のトラブルで、従業員からIT部門に問い合わせの電話が殺到しているという。同機能は、以前のWindowsから存在しているが、Windows 10ではより詳細なカスタマイズが可能で、高い画面解像度を利用できる。この点が、問題の発端だ。

　同事務所のCIOは、終業時、従業員がノートPCをシャットダウンせずにオフィスから持ち出し、自宅のモニターに再接続すると、画面の表示にトラブルが起こると話す。例えば、異常に拡大または縮小されたテキストが画面に並び、ユーザーがデバイスからいったんログアウトし、再度ログオンするまで、この問題は直らないという。

「この機能のせいで、イライラしている従業員もいる」と、同事務所のCIOは語る。

「Windows Hello」による顔認証、赤外線顔写真で突破される

https://pc.watch.impress.co.jp/docs/news/1098195.html

Windows Helloによる顔認証では、近赤外線カメラと、使用されているWindows 10バージョンによっては、RGBカメラのデータも利用されている。

　加えて、Windows Helloによる顔認証には、「拡張スプーフィング(なりすまし)対策」機能が用意されており、なりすまし攻撃への対策を強化することが可能となっている。しかし、同機能は既定で無効となっているほか、グループポリシーから明示的に有効にする必要がある。また、Microsoftの2in1「Surface Pro 4」などの対応機種でないと利用できない。

しかし、今回発見された攻撃では、拡張スプーフィング対策機能が有効化されていても通用するという。

　攻撃は、SySSの2人のITセキュリティ専門家Matthias Deeg氏とPhilipp Buchegger氏によって発見されたもので、攻撃に必要とされるのは以下の条件を満たした写真だという。

• ユーザーの正面からの顔写真であること
• 近赤外線カメラで撮影した写真であると
• 画像の明るさとコントラストが調整されていること(単純な画像処理としている)
• 上記の画像をレーザープリンタで印刷すること

　同社の概念実証試験では、Windows Hello対応のカメラを搭載しないDell「Latitude E7470」ノートPCと、Windows Hello対応のIRカメラ「LilBit USBカメラ」を接続した環境、Microsoft「Surface Pro 4」を利用した環境で、複数のWindows 10バージョンで認証を突破できたという。

同社の調査結果によれば、Windows 10の最新Buildである1703、1709は、前述の対応ハードウェアで「拡張スプーフィング対策」機能が有効になっている場合、印刷された顔写真によるスプーフィング攻撃では認証を突破できない。

　そのため同社では、Windows Helloの顔認証を利用する場合は、Windows 10をBuild 1709以降の最新版に更新し、拡張スプーフィング対策機能を有効にした上で、Windows Helloの顔認証を再セットアップするよう推奨している。