生体認証の盗難と詐欺に関する懸念

VinCSSサイバーセキュリティサービス株式会社が9月15日に発表したベトナムの銀行アプリケーションにおける認証体験レポートによると、ベトナムのデジタル認証トレンドにおいて生体認証が中心的な位置を占めている。

生体認証は最も広く使用されているだけでなく、あらゆる年齢層のユーザーにとって今日最も便利な認証方法であると考えられています。

最も多く使用され、最も心配される

具体的には、レポートによると、ユーザーの58.3%が生体認証を利用しています。これは、2番目に多いSMS OTP（ワンタイムSMS認証）のわずか12.1%を大きく上回っています。これに続いて、PINコード（9.8%）、スマートOTP（6.6%）、パスワード（5.8%）と続きます。

しかし、今日の銀行アプリでの認証体験にユーザーが不満を抱いている上位 3 つの理由はすべて、生体認証に関連しています。

具体的には、3 人に 1 人のユーザーが生体認証の盗難や偽造を心配しており、6 人に 1 人は生体認証は機密情報ではないと考えています。

さらに、ユーザーの 4 分の 1 がログイン情報が盗まれることを懸念しています。

注目すべきは、37人に1人のユーザーが認証関連の理由でアカウントがハッキングされたと回答したことです。この割合は高齢者層で高く、19人に1人が同じ理由でアカウントがハッキングされたと回答しています。

報告書によると、あらゆる年齢層のほとんどのユーザーは、自分の顔や指紋のデータがどこに保存され、どのように管理され、悪意のある人の手に渡る可能性がないかについて懸念を抱いている。

特に AI 攻撃、データ侵害、プライバシーに関する懸念が増大している現在の状況では、多くのユーザーは、生体認証だけではデジタル資産を保護するのに十分ではないと考えています。

テクノロジーではなく文脈によって

VinCSSの専門家によると、その理由の一部は、現代の認証システムにおいて生体認証の役割、実装方法、そして利用状況が明確に区別されていないことに起因しています。生体認証は必ずしも主要な鍵となるわけではありません。統合方法によっては、生体認証は認証の独立した形態となることも、補完的な形態となることもあります。

生体認証は、単独の認証形式として使用する場合、指紋をスキャンしてドアを開けたり、顔認証でデバイスを開いたりするなど、アクセスを直接的に決定します。ユーザーが本人確認を行うたびに、システムはユーザーがスキャンした生体認証データと、事前に登録され中央に保存されている生体認証記述データとを比較します。

ただし、多くの場合、生体認証はローカル検証のための追加の認証形式、つまりユーザーがバックグラウンドで動作する別の認証メカニズムのロックを解除するための入力インターフェイス レイヤーとしてのみ機能します。

たとえば、今日の多くのアプリケーションでは、生体認証を使用して自動的にログインします。ユーザーは生体認証をスキャンして、以前に保存したユーザー名とパスワードをシステムに自動的に送信し、本人確認を行って正常にログインします。

したがって、VinCSSの専門家は、生体認証のリスクは技術自体ではなく、その応用状況にあると考えています。生体認証に関するあらゆる論争の核心は、盗難、偽造、またはバイパスの可能性にしばしば集中します。