研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性

今回は「研究者が明らかにした「Windows Hello」の顔認証をパイパスできる脆弱性」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Windows 10」の「Windows Hello」による顔認証を、標的とする人の赤外線(IR)フレーム1つのみでバイパス可能にする手段について、セキュリティ企業Cyber Arkの研究者が先週明らかにした。攻撃者がそれをどのように悪用する恐れがあるかということについても指摘している。

 手の込んだ攻撃となるようだ。ユーザーの顔のIR画像を入手し、Windows Helloに対応したカスタムのUSBデバイスを用意するなど、相応の計画が必要となる。この攻撃は、Windows 10がそうしたUSBデバイスをいかに扱うかを悪用したもので、攻撃者は標的とするPCへの物理的なアクセスが必要なようだ。

 しかし、条件さえ満たせば、攻撃者は狙ったWindows 10搭載PCで、機密情報に加え、「Microsoft 365」のクラウドサービスに保管されている情報にもアクセスできる可能性があるかもしれない。

 Cyber Arkの研究者のOmer Tsarfati氏は、ブログ記事で次のように説明している。「ターゲットの有効なIRフレームが1つだけあれば、攻撃者はWindows Helloの顔認証メカニズムをう回し、認証システムを完全にバイパスして、被害者の機密情報全てにアクセスできる可能性がある」

 攻撃者は標的とする人のIRフレームを撮影する、あるいは標的の通常のRGBフレームをIRフレームに変換するなどして、標的の有効なIRを取得することが考えられる。

 USBカメラはIRとRGBのセンサーをサポートするというWindows Helloの要件を満たす必要があるが、Windows HelloがUSBデバイスから、人の顔画像といった「パブリック」なデータを扱う方法に明らかな弱みがあるとCyber Arkは指摘した。

 研究者は、認証プロセスではIRカメラのフレームのみが処理されることが分かったとしている。そのため、Windows Helloの認証をバイパスする際に、攻撃者は有効なIRフレームがあればよい。一方、RGBフレームの内容は何でも構わないとのことだ。Tsarfati氏によると、テストでアニメキャラクターの「スポンジ・ボブ」のRGBフレームを使用し、パイパスに成功したという。

 Tsarfati氏は、標的とする人のIRフレームを入手するのは、かなり簡単なはずだと述べている。例えば、IRカメラを持ってすれ違いざまや、エレバーター内など、その人が通りそうな場所に設置して撮影する方法などが考えられる。また、ハイエンドの赤外線センサーを使えば、離れた場所からでも撮影できるだろう。

 Microsoftは先週、この脆弱性に対処したとTsarfati氏は述べている。「CVE-2021-34466」として公開されている。

 同社は、攻撃者は物理的なアクセスが必要であるなど、首尾よく実行するには複雑な攻撃になるとしている。パッチを適用することは重要だが、同社の説明によると、管理者がことさら心配する必要のない脆弱性のようだ。CVE-2021-34466のCVSS v3の評価スコアは5.7となっている。また、「悪用される可能性は低い」とされている。

セキュリティ・ネットワーク領域 のwang助教が辻井重男セキュリティ論文賞 特別賞を受賞 | Jaist 北陸先端 ...

セキュリティ・ネットワーク領域 のWANG助教が辻井重男セキュリティ論文賞 特別賞を受賞 セキュリティ・ネットワーク領域 のWANG, Yuntao助教が辻井重男セキュリティ論文賞 特別賞を受賞しました。 辻井重男セキュリティ論文賞は、情報セキュリティ関連の団体の協力を仰ぎ、学生に限らず広く ...

巧妙に金銭をだまし取る「ビジネスメール詐欺(Bec)」の脅威、1度の被害額が数億円も 連載:サイバーセキュリティ最 ...

インターネットを介した詐欺などのニュースを耳にしても「自分はそんな目には遭わない」と信じている方は多いと思います。しかし、残念なことに悪意と悪知恵に満ちあふれた犯罪者たちは、今、この瞬間にも、あの手この手を使って、皆さんの大切な情報や財産を奪い取ろうと画策しています。今回は、近年、大企業であっても多額の損害を受けた「ビジネスメール詐欺(BEC:Business E-mail Compromise)」について解説します。

東京オリンピックに潜むサイバー攻撃の脅威とセキュリティ対策|セキュリティ通信

【セキュリティ通信】東京オリンピックは、第5世代移動通信システム(5G)導入後、初のオリンピック。セキュリティ対策を万全にして臨んだとしても、新たな技術には想定外のサイバー攻撃のリスクが伴う。この記事では、過去のサイバー攻撃による被害を踏まえて、東京オリンピックで予想されるセキュリティリスクとその対策について紹介する。

NEC、顔認証によるPCセキュリティ機能をクラウドサービスで提供する「NeoFace Monitorクラウド版 ...

日本電気株式会社(以下、NEC)は20日、顔認証技術を利用したPC向けセキュリティソフトウェア「NeoFace Monitor」のラインアップに、クラウド ...

UCC執行役員CISOが語るゼロトラストセキュリティ構築の費用対効果 - ビジネスWebマガジン「Future ...

【ゼロトラストセキュリティ事例】時間や場所にとらわれない働き方の実現を目指していたUCCグループでは、ネットワークとセキュリティ環境をゼロトラストモデルへ刷新。本稿では、UCCホールディングス株式会社 執行役員CISO 黒澤俊夫氏が登壇したウェビナーで語られたゼロトラストセキュリティ構築における効果を紹介します。

サイバー攻撃によるカード情報流出懸念でECサイト閉鎖、neten株式会社|サイバーセキュリティ.com

画像:neten株式会社より引用 neten株式会社は2021年6月22日、同社が運営するオンラインショップ「ロゴストロンコム」に対する外部からの不正アクセスが発生し、過去同社サイトにクレジットカード情報を入力したユーザーのカード情報

サイバーセキュリティ経営の重要10項目 | Biz Clip(ビズクリップ)-読む・知る・活かす

IT活用はビジネスの成長に欠かせない要素だ。しかし、サイバー攻撃で深刻な被害を受けるケースの増加など、セキュリティ面の…

クラウドの情報セキュリティリスクと可視化技術 | Biz Drive(ビズドライブ)-あなたのビジネスを加速する

クラウドの情報セキュリティリスクと可視化技術. 世間で騒がれているサイバー攻撃について、その危険性や対策方法をお伝えする連載シリーズの第5回目です。. 現在のような新型コロナウイルス禍におけるテレワークの推進により、働く場所、利用する ...

「被害に遭う前にカーセキュリティviperで自己防衛を!」ヒロイズムのブログ | ヒロイズムで「カスタム☆カー ...

「被害に遭う前にカーセキュリティVIPERで自己防衛を!」ヒロイズムのブログ記事です。自動車情報は日本最大級の自動車SNS「みんカラ」へ!

世界中で猛威を振るうスマホ向けスパイウェア「Pegasus」の兆候も検出可能なセキュリティ侵害検出ツール「MVT ...

iOS端末やAndroid端末におけるセキュリティ侵害の兆候を検出するために作成されたフォレンジックツールが「Mobile Verification Toolkit(MVT)」です。世界中で猛威を振るうスパイウェア「Pegasus」の兆候を検出することにも使えます。

顔認証で情報漏えいのリスクを軽減、NECのPCセキュリティサービス「NeoFace Monitorクラウド版 ...

NECは、顔認証によるPCへのログオンやロック解除などのPCセキュリティ機能をクラウドサービスで提供する「NeoFace Monitorクラウド版」の販売を7月20日に開始、ユーザー企業の情報漏えいリスクを軽減する。

Dockerセキュリティベストプラクティス トップ20:究極ガイド #aqua #コンテナ #セキュリティ #ベスト ...

AquaSecurity, Docker |本ブログは「Aqua Security」社の技術ブログで2021年6月30日に公開された「 Top 20 Docker Security Best Practices: Ultimate Guide 」の日本語翻訳です。 Dockerセキュリティベストプラクティス トップ20:究極ガイド Docker

どんな脅威を感じていますか? サイバーセキュリティに関する実態調査:日経クロステック Active

サイバーセキュリティに関する実態調査. この度、日経クロステック Active読者の皆様を対象に、「サイバーセキュリティに関する実態調査」 (提供:サイバーリーズン・ジャパン)を実施いたします。. 回答へのご協力のほど、よろしくお願いいたします ...

バツがない漫画広告がうざい。不快で気持ち悪い広告をAndroidで消す方- その他(セキュリティ) | 教えて!goo

バツがない漫画広告がうざい。不快で気持ち悪い広告をAndroidで消す方法はありますか?https://bitregions.com/post-14793/間違えました。外すのは「uBlock Japanese」ではなく「AdGuard Japanese」です。

コペン La400kの愛知県,セキュリティ,警報に関するカスタム&メンテナンスの投稿画像|車のカスタム情報はcartune

中古で購入したローブですが?純正オプションのセキュリティが装備されていたらしく着いている事も機能も理解していなく突然にホーンが鳴り焦りまくりでした?何となくメーター内でダミーの赤ランプが点いてた程度の認識でしたが?貸しガレージにコペンが保管してありその奥に別の車のタイヤを置き行った時にオープン状態でドアロックしてあるコペンのガラスの上から手を入れて内側のロックを開錠してドアを開けシートを触っていたらアラームがピコピコと鳴ってるな〜と思いつつ暫くしたらホーンが鳴り出して大パニックです?コペンのリモコンキーは外の別の車のバッグに入れておりダッシュ?で取りに行き慌ててリモコンのロックを押したらホーンが鳴り止みました。もし?コペンのキーが無かったらと思うと恐ろしい事です。純正セキュリティは、どれも同じカモ知れませんがオマヌケな話しでした (´・ω・`)

セキュリティロボットの市場ブームセグメント。2028年の成長分析と予測を求める投資家 | securetpnews

セキュリティロボット 「セキュリティロボットの市場の概要を示す最新のレポートでは、調査は主に市場動向、需要範囲、および予測期間中のこのセクターの将来の機会に焦点を当てています。さらに、レポートは、主要なビジネス株主の地理的な機会と投資を説明する傾向の観点から詳細な ...

ASCII.jp:NEC、顔認証PCセキュリティサービス「NeoFace Monitor クラウド版」発売

NECが同社の顔認証エンジン「NeoFace」を使用したPCセキュリティサービス「NeoFace Monitor クラウド版」を販売開始した。専用サーバーの構築不要で、1ユーザー/1カ月あたり300円(税抜)の価格設定となっている。「Microsoft 365」「Google Workspace」といったクラウドサービス(SaaS)とのシングルサインオン化も可能。

サイバー攻撃を防ぐ情報セキュリティ人材育成プロジェクトが2年連続で経済産業省の「未来の教室」実証事業に採択 ~通信制 ...

デジタルハーツホールディングスの子会社であるデジタルハーツと一般社団法人HASSYADAI socialが共同開発した「エシカルハッカー発掘・育成プロジェクト」が、昨年度に続き、経済産業省「未来の教室」実証事業に採択されました。 昨年度実施したキャリア講演やワークショップに加え、インターンシップやゲーム形式講座など、より実践的な内容を約250名の高校生に提供します。

Google CloudはBigtableのSLAを改善し、新しいセキュリティ機能を追加

Google Cloudは最近、Bigtableインスタンスに対して可用性SLAを99.999%まで引き上げた。これは、FirestoreとCloud SpannerのSLAと一致する。データストレージシステムには、エンタープライズワークロード用の2つの新しいセキュリティ機能、顧客管理の暗号化キー(CMEK)とデータアクセス監査ログが導入された。

アカウントを守るログインセキュリティ|一花|note

いよいよ夏が到来しました。 夏といえば海?花火?かき氷やスイカ? いやいや、やっぱりキンチョーの虫コナーズでしょう。 キンチョー:虫コナーズのCM「無防備」 https://www.kincho.co.jp/cm/html/mushikonazu_muboubi/index.html 長澤まさみさんのCMでおなじみの虫コナーズ。 「おでこにPW(パスワード)書いて歩いてるようなもんやで」と おでこをぺちぺちされる兄弟役の仲野太賀さん。 「自分もぺちぺちされたい!」 コロナ禍で人と合うこともままならないご時世で、 そう感じた方も多くいらっしゃるのではないでしょうか?(適当)

事務所でおとなしく・・・ | 有料の正義の味方・【行政書士・セキュリティ・コンサルタント】はせぴのブログ

こんにちは。世田谷区砧で相続・遺言・車庫証明をメインにしてます、行政書士セキュリティコンサルタントのはせぴこと長谷川です。 子供のいないご夫婦、おひとり様の遺…

【Ps5にも対応】ノック式usbメモリータイプの外付けssdが新登場。セキュリティ機能も付いていて安心 ...

エレコムは、ノック式USBメモリータイプの超小型外付けSSDを発売開始した。プレイステーション4、5にも対応!

Windowsの印刷スプーラーに新たなゼロデイ、リモートプリントサーバーを介して悪用可能 | サイバーアラート ...

海外の最新サイバーセキュリティニュースを毎日更新。 マキナレコードが取り扱う「Silobreaker」が自動生成するニュース記事のハイライトを翻訳しています。

アルファードへプロセッサーアップグレード! - 高知のカーオーディオ・セキュリティ・カスタム専門店 エムアイティガレージ

どうも!しもてぃーです!! 今回はこちら! アルファードへ内蔵アンプ付きプロセッサーを取り付けました。 元々ミューディメンションのプロセッサーを付けていたオーナー様。 次へのステップとのことでグレードアップをいたします。 取り付けを行うのはこちらのアンプ。 JL-VX800/8i 仕様 ...

【SEF-1W】次世代のOSSライセンス&セキュリティ管理ツールFossID紹介セミナー (オンライン) - 【キー ...

【SEF-1W】次世代のOSSライセンス&セキュリティ管理ツールFossID紹介セミナー (オンライン)のITセミナー情報です。キーマンズネットはIT製品の導入をサポートします!スペックや導入事例、価格情報・比較情報も充実。資料請求も簡単に出来るIT情報サイトです。

NEC、顔認証によるPCセキュリティサービス「NeoFace Monitorクラウド版」を発売 (2021年7月20 ...

NECは、顔認証によるPCへのログオン・ロック解除などのPCセキュリティ機能をクラウドサービスで提供する「NeoFace Monitorクラウド版」を本日より販売開始します。

(人事・情報・通信)ブロードバンドセキュリティ: 日本経済新聞

ブロードバンドセキュリティ(9月17日)社長(代表取締役兼ceo)滝沢貴志副社

機械学習工学研究会が「第1回機械学習システムセキュリティ勉強会」を7/28日に開催 - IT News Checker

MLSEは、機械学習システムの開発・運用にまつわる生産性や品質向上を追求する研究者とエンジニアが、互いの研究...

COMMENTS


51898:
2021-07-22 22:00

日本は本当セキュリティ関係からなにまでガバガバ。 恥ずかしくないの?何が先進国だよ

51896:
2021-07-22 19:53

いやあ、オリンピック決まってから懸念してたけどやはり起きるよね どの国でも攻撃受けて流出とかあるのに日本のITセキュリティレベルじゃあ起きない訳ないんだよな 五輪チケット購入者の情報流出hooニュース

51901:
2021-07-22 18:39

本当にドラゴンボールのセルのように次から次へと新技が出てくるな…。 ITエンジニアのぼくはセキュリティ事故の1件だけでもうお腹いっぱいです。。

51899:
2021-07-22 18:39

凄いです!結局最前列での掲示がオッケーきましま。オリンピックのバナーにかかってもいいから、出していいよ。になりました。本部と交渉してくれたユアスタのセキュリティの皆さん。エビデンスを作ってくれたなおちゃん!ありがとうございます co…

51891:
2021-07-22 15:56

買えましたー!! 欲しかったのは全部予約中だったので良かったです(つД`) なので、Mac勢は、例えば、火狐(Firefox)などのWEBブラウザで検索後のページでキャッシュをクリアするか、画面右上のFirefox→設定→プライバ…

51900:
2021-07-22 15:28

五輪チケット購入者の情報流出とは酷いモンだ。 3兆以上も使っておいてセキュリティ対策すら杜撰。 どれだけ中抜きされて最低五輪になってんだか。 国民の命を守る気も無い、そして個人情報も守る気無し。 利権屋に媚びうるだけの最低五輪は歴史に残…

51897:
2021-07-22 14:45

あとまめちしきなんだけどでーぶいでーとぶるれい両方欲しい時は本命の方からポチるのじゃ。1回目でセキュリティが発動することはほぼないけど、2回目はわからん。普通の人は両方は買わないと普通の人は思っているので

51904:
2021-07-22 14:31

五輪チケット購入者の情報流出とは酷いモンだ。 3兆以上も使っておいてセキュリティ対策すら杜撰。 どれだけ中抜きされて最低五輪になってんだか。 国民の命を守る気も無い、そして個人情報も守る気無し。 利権屋に媚びうるだけの最低五輪は歴…

51902:
2021-07-22 09:36

知らない電話番号から電話があって、店閉めるから、鍵は☓☓の下に置いときます。って、留守録が入ってた。セキュリティ大丈夫かな。

51894:
2021-07-22 07:49

怪奇レポート、セキュリティしっかりしてるの笑う

51890:
2021-07-22 04:44

知ってた。セキュリティがガバガバだってこと。 しかも五輪会場内のシステム構築のためにエンジニア募集を6月までやっていたくらいだもの。 そりゃチケット購入者情報だって漏れるよね。 五輪チケット購入者の情報流出(共同通信)hooニュース ht…

51895:
2021-07-22 02:48

ピーピー車のセキュリティ鳴ってますよ〜 本当に盗まれてんのか誤作動なのか知らんけどうるさいんで止めてくださーい 純正のホーンのやつだし、音からして軽自動車だしどうせ誤作動やろって思ってしまうのがなんともな所…

51903:
2021-07-22 02:41

詳細をお知らせいただきありがとうございます。 Twitter上ではセキュリティの観点からご注文の詳細を確認できないため、カスタマーサービスにて現在の状況をお伺いさせていただきく存じます。お手数ですが下…

51893:
2021-07-22 01:20

プレス発表 「情報処理技術者試験」「情報処理安全確保支援士試験」における受験手数料の改定について 値上げ正式に決まったのか。基本情報→応用情報→情報セキュリティマネジメント と取っ…

51892:
2021-07-22 00:57

店のセキュリティ、掛かってないのを思い出して帰宅即店へ出発したのでした?

Recommended

TITLE
CATEGORY
DATE
オラクル、MySQLのデータベースエンジンでJavaScriptをサポート、ストアドプロシージャなどJavaScriptで記述可能に。プレビュー版をリリース
JavaScript
2024-01-10 05:30
アップルが子ども向けポッドキャストのキュレーションでCommon Sense Mediaと提携
ネットサービス
2021-03-10 06:16
Red Hat、Kubernetesネイティブなセキュリティベンダー「StackRox」を買収
クラウドユーザー
2021-01-19 19:54
マクニカ、エッジ・クラウドAI連携のデータプラットフォームをリリース
IT関連
2021-01-20 00:41
アマゾンを成功に導くリーダーシップのあり方–元幹部が読み解く"Working Backwards"
IT関連
2021-04-06 15:16
日東電工、「SAP Fieldglass」導入で外部人材の調達・管理を強化
IT関連
2022-07-28 00:21
au PAYで給与前払い KDDI孫会社が企業向けサービスを5月に提供
企業・業界動向
2021-01-19 06:35
Google Forms APIが正式リリース。Googleフォームの作成や編集、集計などをプログラミングで制御可能に
Google
2022-03-22 14:08
ゼロデイ脆弱性、攻撃者はCVE公表から15分以内にスキャンを開始
IT関連
2022-07-30 10:16
ヴイエムウェアとNVIDIA、生成AIプラットフォームを発表
IT関連
2023-08-24 16:43
フォードとBMWが全固体電池のSolid Powerに142.2億円を投入
モビリティ
2021-05-06 16:24
企業はゼロトラストでどんなセキュリティ対策をしているか–ガートナーが調査
IT関連
2024-04-24 02:57
Denoとして初の長期サポート版「Deno 2.1」正式リリース。WebAssemblyの実行が容易に、「npm init」など新機能
JavaScript
2024-12-02 14:57
Android版Google Meet、背景ぼかしやバーチャル背景が使えるように
ネットトピック
2021-06-09 13:17