Menu

研究者らは、Dell、Lenovo、Microsoft のノートパソコンで Windows Hello の指紋認証をバイパスすることに成功しました…

  • Howero
  • abmhh
  • 0 comments
研究者らは、Dell、Lenovo、Microsoft のノートパソコンで Windows Hello の指紋認証をバイパスすることに成功しました…
Dell Latitude 9440 2-in-1
(画像提供:Windows Central)

知っておくべきこと

  • 研究者グループが Windows Hello の指紋認証を回避することに成功した。
  • 研究者らは、Dell、Lenovo、Microsoft のノートパソコンでテストを実行しているときにこの発見をしました。
  • この研究の基盤として、Goodix、Synaptics、ELAN の指紋センサーが使用されました。
  • 研究者らによると、Microsoft の SDCP 保護が有効になっていなかったため、セキュリティ機能を回避することができたという。
  • Microsoft はこの問題を回避する方法を検討していますが、研究者はユーザーに SDCP 保護を有効にすることを推奨しています。

Blackwing Intelligence のセキュリティ研究者グループは、上位 3 つの指紋センサーに影響する複数の脆弱性を発見しました。この脆弱性により、Dell、Lenovo、Microsoft のラップトップで Windows Hello の指紋認証をバイパスできる可能性があります。

研究者たちは、マイクロソフトのオフェンシブリサーチ&セキュリティエンジニアリングチームから指紋センサーのセキュリティテストを依頼されました。10月に開催されたマイクロソフトのBlueHatカンファレンスでの結果発表において、チームはGoodix、Synaptics、ELANといった人気の指紋センサーが研究の中心となっていることを明らかにしました。

報告書によると、研究者らは、中間者(MitM)攻撃を実行可能なUSBデバイスの構築方法を強調した詳細な説明を公開しました。さらに、この高度な技術によって、盗難されたデバイスや放置されたデバイスに悪意のある人物がアクセスできるようになる仕組みについても詳しく説明しています。 

Windows Hello のセキュリティ機能としての信頼性を判定するテストを実行していたところ、残念ながら、デバイス上で指紋認証が有効になっている場合、Dell の Inspiron 15、Lenovo の ThinkPad T14、Microsoft の Surface Pro X が巧妙な策略の餌食になってしまいました。 

Blackwing Intelligence の研究者は、これらのデバイスのソフトウェアとハ​​ードウェアをリバース エンジニアリングしているときに、Synaptics センサーのカスタム TLS にセキュリティの脆弱性を発見しました。 

パスワードのない未来、しかしそれでも非常に憂慮すべき事態

今年、Microsoftはパスワードレスの未来に向けてより「意図的に」取り組んできました。特に最近の取り組みでは、Windows 11ユーザーがWindows Helloを使用してパスキー対応のウェブサイトにログインできるようにしました。さらに、Windows設定アプリからパスキーを削除するなど、保存したWindowsデバイス上でパスキーを管理できるようになりました。

Windows Hello によるパスワードレス認証への移行が進むにつれ、ユーザーの間で大きな不確実性が生じています。その結果、パスワードレス認証に完全移行すべきか、それとも PIN 認証に固執すべきかの判断がさらに難しくなっています。 

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

Microsoft がこの問題にどう対処するつもりなのかはまだ明らかではありません。また、ハッカーが現在この手法を実際に利用しているかどうかもわかりません。

Microsoftは、ホストと生体認証デバイス間の安全なチャネルを提供するために、セキュアデバイス接続プロトコル(SDCP)の設計に成功しました。しかし残念なことに、デバイスメーカーはSDCPの目的の一部を誤解しているようです。さらに、SDCPは一般的なデバイスの動作のごく狭い範囲しかカバーしていない一方で、ほとんどのデバイスにはSDCPでは全くカバーされていない、かなり大きな攻撃対象領域が露出しています。

ブラックウィング・インテリジェンス研究者

研究者らは、SDCP 保護が有効になっていなかったため、テストを実行していた一部のデバイスで Windows Hello の指紋認証をバイパスできたことを明らかにした。

安全上の予防措置として、研究者グループは、このような攻撃が容易に展開されるのを防ぐために、ユーザーが SDCP 保護を常に有効にしておくことを推奨しています。 

あなたの PC で Windows Hello を使っていますか?ぜひコメント欄であなたの体験を共有してください。

ケビン・オケムワは、ケニアのナイロビを拠点とするベテランのテクノロジージャーナリストです。Windows Centralで業界の最新トレンドや動向を幅広く取材し、豊富な経験を有しています。イノベーションへの情熱と細部への鋭い洞察力を持つ彼は、OnMSFT、MakeUseOf、Windows Reportといった主要メディアに寄稿し、Microsoftエコシステムを取り巻くあらゆるトピックについて、洞察力に富んだ分析と最新ニュースを提供しています。常に変化するテクノロジーのトレンドを追っている暇な時は、世界を旅したり、音楽を聴いたりしています。