Sponsored Contents

Securityの最新記事

Image credit:
Save

100万人以上の生体認証情報が公開状態。企業や組織150万か所で使用の出入管理システムに脆弱性

病院や警察なども含まれます

Munenori Taniguchi, @mu_taniguchi
2019年8月15日, 午前06:50 in Security
273シェア
89
184
0

連載

注目記事

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機
12

折りたたみスマホ Galaxy Fold レビュー。ガチ勢専用の高コスト可変機

Ittousai, 10月11日
View
iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

iPhone 11 / Pro / Maxレビュー。「11以降」と旧型を分ける超広角カメラ標準化とAR・機械学習の関係

Ittousai, 9月20日
View

銀行や英国警視庁、防衛企業など世界150万か所で使われている生体認証システムBiostar 2にセキュリティ上の問題が発見されました。発見したセキュリティ研究者によると、100万人以上の指紋や暗号化されていないパスワード、顔認識情報など個人データが外部からアクセス可能な状態になっていたとのことです。

Biostar 2生体認証プラットフォームを開発するSupremaは7月に、83か国5700組織で使われている別のアクセス制御システムであるAEOSとBiostar 2を統合したことを発表しました。

今回発見されたセキュリティ上の欠陥は、イスラエルのVPN監査サービス企業vpnMentorの研究者Noam Rotem氏とRan Locar氏によって発見されました。2人はBiostar 2のデータベースが保護されておらず暗号化もされていないことを発見し、そして検索エンジンElasticsearchでURL検索条件を操作することで全23GB、2800万レコードにアクセスできてしまったと報告しています。

これらデータの中にはユーザーの顔写真、平文のままの氏名、平文のままのパスワード、指紋情報、顔認識情報、機密アクセス許可レベル、施設へのアクセスログなどが含まれていたとされます。

研究者らは「何百万ものユーザーがこのシステムを使う場所にアクセスし、誰がどの施設や部屋に出入りしているかをリアルタイムで確認できる」と述べました。さらに「データベースを変更して新規ユーザーを追加することもできた」としており、悪用されれば何者かが機密を持つ施設に簡単に、堂々と侵入できてしまえる可能性もありそうです。

Rotem氏はSupremaに連絡を取ろうと試みたものの、応答がないと述べています。一方、Supremaのマーケティング責任者はThe Guardianに対しvpnMentorの報告に関して「詳細に評価」をしたうえで脅威があるかを顧客に連絡すると述べ「当社の製品/サービスに明確な脅威があれば、直ちに行動し、適切な発表を行い、お客様の企業名ビジネスと資産を保護します」と語りました。しかし、その後正式な発表などはないものの、研究者らが報告したデータベースへの抜け穴は閉じられたとされます。

これで一安心と言えるのかは、まだわかりません。たとえば機密情報がパスワードだけならユーザーがそれを変更すれば良いものの、指紋や顔認証データは更新できるものではありません。もし悪意ある何者かがすでにデータを盗み出していたら、指紋を複製したり顔認証に通るためのマスクを作るといったことも可能性としてはあるかもしれません。




「TechCrunch Tokyo 2019」11月14日、15日に開催



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

273シェア
89
184
0

Sponsored Contents