〜 卓越した品質へ 〜

一体大丈夫なのだろうか?という事故が起きてしまいました。韓国のSupremaという企業が管理しているセキュリティサービスの「BioStar 2」というシステムから大規模なデータ流出が発覚したのです。Gigazineに紹介記事が出ています。

この事故は2つの意味で困ったことが起きています。

生体認証情報が含まれている

流出した情報には,暗号化されていないID/パスワードだけではなく,生体認証に利用される指紋情報や顔写真が含まれていました。よくある(よくあっては困るのですが)流出事故の場合は,ID/パスワードが流出してしまうことがあります。この場合は,最悪パスワードを変更すれば,被害の拡大は食い止めることができます。

しかし,指紋や顔は変更できないので,流出してしまい悪用され,もし認証が通ってしまうといくらでもなりすましが可能になってしまいます。こうなると,流出させられてしまった人は,その生体認証システムを利用することができません。ですので,生体認証システムを提供するベンダーはサーバにある生体認証情報の管理には最新の注意を払っています。

流出させたのがセキュリティ企業なのに対策がよくない

流出を発見したのはイスラエルのVPN監査サービス企業vpnMentorという会社です。vpnMentorはこの事態をSupremaに報告したのだそうですが,Suprema側は全く協力的ではなかったとのことです。流出事故が指摘された場合,車内には箝口令が引かれるかもしれませんが,指摘してきた相手にはきちんと対応して,脆弱な部分を修正することが必要なのに。

Supremaは生体情報などが保管されているデータベースを,vpnMentorが指摘してから1週間以上も放置したままにしていました。これは,セキュリティ企業としてやってはいけないことだったのではないでしょうか。

WindowsやiPhoneは顔認証,Androidは指紋認証など,生体認証がどんどん取り入れられてきています。ID/パスワードによる認証の限界が指摘されて10年以上経っていますので,生体認証の流れはこれからも進んでいくと思います。その中で,最先端をいっているはずの業界トップ企業が起こした流出事故は,影響が大きいかもしれません。

コメントを残す

メールアドレスが公開されることはありません。

This site uses Akismet to reduce spam. Learn how your comment data is processed.