にほんブログ村 ニュースブログ 海外ニュースへまとめ
このエントリーをはてなブックマークに追加

【犯罪】眠ってる元彼女を使ってスマホの顔認証をパスし、24,000ドルを盗み出した男

生活

 顔、網膜、指紋など100人いれば100人異なるパーソナルな生体情報を利用したセキュリティを生体認証というが、その安全性については様々な疑問が投げかけられている。

 個人情報の流出、その個人情報から認証を突破される可能性、さらに偽装した情報で突破される可能性などであるが、もっと古典的でアナログな方法にも心配する必要があるかもしれない。

 生体認証にあっては文字通り人間自身が”鍵”である。普通の鍵と比べれば人間だから盗まれる心配は遥かに少ないだろうが、しかし思いもせぬ場所と方法で、そして知らぬ内に盗まれてしまうこともあるかもしれない。

本当にただの風邪薬?

「昨年12月、中国南部の南寧市在住のファンという男は、交際中に借りた金を返すためという名目で元恋人のトンさんの家を訪ねた。

 当時トンさんは体調を崩しておりファンは食事と風邪薬を持って来ていた。だがその後、ファンはトンさんが眠りについたのを見計らって彼女の指紋を利用してスマホのロックを解除し、彼女のまぶたを上げてスマホ上の金融アプリの顔認証をパス、彼女の預金口座とクレジットカードから自身の口座にお金を振り込んだ。

 さらにそのスマホと彼女のコートを奪い去り、ファンはその金(計15万4,000元=2万4,200ドル相当)を自分の生活費とギャンブルの借金の返済に使った。

 翌日、目を覚ましたトンさんは、もう一台持っていたスマホで振り込みの事実を確認し、警察に通報、今年4月ファンは別の街で逮捕、先日懲役3年半及び罰金2万元(3,100ドル相当)の判決が言い渡された。

 この事件は、中国において顔認証によるセキュリティについての論争を引き起こし、一部の人々の間では、指紋や顔認証による決済機能をオフにして、通常のパスワードによる認証を使い続けるべきだとの主張も生まれている。」

著者抜粋翻訳・引用元:こちら

以下、この記事についてのレディターの反応

名前: tiny_galaxies
銀行他の金融アプリには、およそすべてPINを使用するようにするオプションがある。
もしそれをしないならポケットの中にATMを入れているのと変わらない。


名前: ShadowVader
>>tiny_galaxies
自分の銀行アプリはログインだけなら指紋でできるけど取引にはPINが必要になってるね。
さらに一定額以上の取引になるとキャッシュカードとカードリーダーも必要になる。


名前: stormhunter2
>>ShadowVader
その上で生体認証だけでできるようになってたりする…


名前: TheQuiet1994
>>stormhunter2
そうなんだよね、生体認証が2要素認証の迂回路として使えてしまうってのがよくある。
とはいえ、その機能をオフにしてPINを絶対に必要にするオプションもあるはずだ。


名前: GetOutOfTheWhey
>翌日、目を覚ましたトンさんは、もう一台持っていたスマホで振り込みの事実を確認
これがあるからeウォレットから盗もうとしていてもすぐバレるんだ


名前: SunshineOneDay
>>GetOutOfTheWhey
そう、簡単に追跡されるから男も簡単に捕まえられることだろう。


名前: red286
>>SunshineOneDay
記事によるとすでに捕まっているが、それにしても罰金3,100ドルとは盗んだ額よりだいぶ少ないな。


名前: WINSTON913
>>red286
賠償とはまた別だろう。


名前: gyroda
>>red286
その通り、罰金は国におさめるもので賠償とは別のものだ。


名前: sentient_space_crab
これは常々情報セキュリティ業界が懸念している問題の1つだ。
たしかに一見すると生体認証はより優れたセキュリティを提供するもののように思えるが、それは変更できず、やれることは無効化することしかないという問題がある。
さらに多くの人が1台のデバイスに頼ったりすべてのデバイスをリンクさせていたりすることが問題を大きくしている。


名前: hobbitlover
>>sentient_space_crab
以前自分は検視官として働いていたけど
指紋や網膜による生体認証を亡くなった人が最後にスマホを使用した時間や家族への連絡先とかを確認するために使っていた。
もちろん警察その他の立ち会いはあるんだけど、法律上検視官のみの権限だった。


名前: zpjack
>>sentient_space_crab
警察は令状なしで生体情報を入手できるがパスワードは入手できない、なんて話もあるしな。


名前: squishles
>>sentient_space_crab
2個めの鍵として使う分には生体認証は良いんだけど、それだけに頼ると最低になる。


名前: sentient_space_crab
>>squishles
うん多要素認証をするなら生体認証要素も入れておくのが最も安全。


名前: RealisticCommentBot
>>squishles
今回の事件も2要素認証、つまりスマホと生体認証。
こんなのって結局見知った相手なら簡単に盗めるものなんだよね。


名前: IllustriousGuard1943
>>RealisticCommentBot
3要素はほしいね、スマホ、指紋、PIN


名前: RealisticCommentBot
>>IllustriousGuard1943
でもPINだってパートナーがそれを知るなんて簡単なことだよ?
親しい間柄なら7要素さえ突破しちゃうんじゃないか。


名前: Syllogism19
セキュリティを重要だと思っている人が生体認証を使う理由がわからん。
特にアメリカでは単純なパスワードでさえ警察を困らせるけど、一方で生体認証だとガバガバだ。


名前: hammer-jon
>>Syllogism19
実際のところ誰もセキュリティなんて気にしてない、考えもしない。


名前: marcuschookt
>>Syllogism19
ほとんどの人は家族友人の脅威ではなく、見知らぬ誰かの脅威を心配している。
それじゃだめだというのも分かるが、サイバーセキュリティのレベルを決める要因は様々で愚かなことだけが理由ではない。


名前: NerdyLoki44
>>Syllogism19
自分のこれまで使ってきたスマホは再起動児にPIN/パスワードを要求するものだったから、可能な限り電源オフにしてたわ。


名前: quiero-una-cerveca
>>NerdyLoki44
起動画面にしておけばいい
トラブルが発生しそうな時にちょうどいい、パスワードさえ入れれば使える状態にしとけばばカメラもすぐに使える。


名前: PhD_V
それにしても寝すぎだろ。
誰かに身体を触れられても起きないなんて匂いでさえ目が覚める自分から見ると羨ましいわ。


名前: beartheminus
>>PhD_V
自分もアパートの上の階の人の咳でも目覚める。
本当に被害者の人が羨ましい。


名前: transmogrified
>>beartheminus
それが子供の頃にある程度騒音のある環境を作ってあげないといけない理由だな。
そうしないと不眠症に子供を育ててしまう。


名前: bathroom_break
>>transmogrified
自分は子供の頃いびきと騒音の真っ只中で育ったけど、結果逆にある程度騒音がないと眠れなくなってしまった。
静かすぎると逆に脳が敏感になりすぎるというか、そんな時は隣の部屋でアリがおならしても目が覚めることだろう。


名前: GetOutOfTheWhey
>>PhD_V
風邪薬を渡されたといっているし、そこにヒントがありそうだ。


名前: PhD_V
>>GetOutOfTheWhey
あぁたぶんそうんだろうね…それでも並みの睡眠薬ならまぶた開けられたら目覚める自信があるわ。
親知らずの抜歯中にさえ目覚めた私ならね。


著者抜粋翻訳・引用元:Reddit