PayPalはサムスンギャラクシーの指紋ハッキング疑惑に対する懸念を軽視
トリシア・デュリー著
ドイツに拠点を置くセキュリティ会社が、ハッカーがサムスンギャラクシーS5のロックを解除し、PayPalユーザーのアカウントを危険にさらす方法を実演したことを受けて、PayPalは本日攻勢に出た。
eBayのシニアセキュリティアドバイザーであるブレット・マクドウェル氏は、GeekWireとのインタビューで、この「ハッキング」はPayPalの顧客が心配するほど深刻なものではないと説明した。
「セキュリティ研究者が実験室環境で偽の指紋を実証できたことは、ニュースにはならないと思いますし、お客様に過度のリスクをもたらすとも考えていません」とマクダウェル氏は述べた。「これは非常に集中的で、拡張性のない攻撃です。」
サムスンの主力製品であるギャラクシーS5が金曜日に発売され、防水性、心拍モニターとしての機能、指紋を使ってデバイスのロックを解除してPayPalにアクセスできる機能など、気の利いた機能が高く評価されている。
Galaxy S5の指紋スキャナーは、デバイスのセキュリティを強化するために設計されました。パスワードは盗まれたり推測されたりする可能性がありますが、指紋は簡単に複製できないと考えられます。
しかし、SRLabsが公開した動画では、指紋を偽造する方法が示されています。指紋を剥がし、木工用接着剤を使って偽の指を作り、それをスキャナーに読み込ませるのです。この動画は瞬く間に拡散し、複数のメディアがハッキングされたと繰り返し報じました。
マクドウェル氏は、携帯電話や PayPal へのアクセスが不可能だとは主張しなかったが、Galaxy S5 では指紋スキャナーを使うほうが単独のパスワードを使うよりもアカウントの安全性が高いと述べた。
「彼らは指紋の純粋なサンプルを採取し、研究室の条件下で人工の指紋を作り出し、それを指に装着して微細な指紋センサーを通過させることに成功した」と彼は語った。
彼はまた、SRLabsの行為は厳密には「ハック」ではなく「スプーフィング」だと主張した。「ハックとは、デバイスにマルウェアを注入して秘密鍵を盗んだり、ハードウェアからテンプレートを盗んだりすることを指します。しかし、SRLabsが試みていたのはそういうことではありません」と同氏は説明した。
大規模なデバイスへのアクセスがないため、この脅威は、数千人の顧客が一度に影響を受ける他の大規模な金融侵害とはレベルが異なります。今回のケースでは、被害は1台の携帯電話と1つのPayPalアカウントであり、ユーザーはいつでもPayPalカスタマーサポートに連絡してデバイスの不正アクセスを解除することができます。
マクドウェル氏は eBay での職務に加え、デバイスとオンライン サービス間の認証を可能にする Galaxy S5 の技術標準を支える組織である FIDO アライアンスの副社長も務めている。
同盟を代表して発言したマクドウェル氏は、この新しいプロトコルは、これまでの生体認証では実現できなかった保護層を提供すると述べた。今回の場合、PayPalがユーザーの指紋にアクセスすることは決してなく、その情報はテンプレートを用いてデバイスに保存される。
つまり、「あなたの指紋が漏洩したわけではない」と彼は言った。
以下は SRLabs のビデオです:
