Photographic Authentication through Untrusted Terminals

ユーザが所有する写真を用いた写真認証(Photographic authentication/画像認証)に関する論文 (IEEE Pervasive Computing Magazine 2003)．
認証手法は再認式画像認証そのもので，回答はチャレンジーレスポンス化されているためReplay攻撃に対しても安全である．なので公共の場にある端末からの認証や複数人が使用する携帯端末での個人認証に適している．という主張．

書誌情報:
T.Pering, M.Sundar, J.Light,R.Want,
“Photographic Authentication through Untrusted Terminals”,
IEEE Pervasive Computing (magazine), Vol.2, 2003.
IEEE DL: https://doi.ieeecomputersociety.org/10.1109/MPRV.2003.1186723

---

移動先やモバイル環境などで使用せざるをえない信用できない端末(自分所有の計算機でない、インターネットアクセスポイント(Internet Cafe等)にある、共用の計算機)からの認証に写真を使った認証は適している．という論文．ホームサーバが存在し，そのサーバ内にユーザの写真がたくさん保存されているという仮定で，認証の度にその写真群の中からランダムに写真を選択して認証に供することでChallenge & Respose特性を持つこととなり、結果としてreplay攻撃に対する安全性を確保できるという提案．

Casual Data(例: 銀行口座の残高照会)のアクセスには必要充分な安全性と、
使い勝手の良さを提供する認証方法だと著者らは述べている．認証方法は以下の通り．

1. 1回の認証で10回の照合が必要 (=回答回数は10回)
2. 1回の照合で画面に4枚の写真が提示する．この写真群には自分の写真1枚と他人の写真3枚が含まれる
3. ユーザは「自分の写真」を選択する

つまり4枚の写真群の中から自分の写真を10回連続して正確に選択できたら
認証成功という仕組みである．

<論文中 Figure 1 より引用>

この個人認証手法に対し，2種類の評価実験を行なっている．

利用可能性検証実験(feasibility):

8名の実験参加者で，各参加者は48〜1293枚の自分の写真をシステムに登録(Table 1参照)．一方，不正解となる画像群は他のユーザの写真を利用した．1度に4枚の写真を提示する写真認証システムをWebシステムとしてプロトタイプ実装(Figure 1)．これを用いて10回自分の写真を回答する．これが1回の個人認証に必要とされるもので，これを10回繰り返させた．一方，攻撃者役には攻撃対象のユーザに対して8回づつ攻撃を行わせた．
測定データは操作時間と認証成否であり，プロトタイプシステムを通じて行なった．
また攻撃実験は，正規ユーザとして参加した8名とは別の12名が参加している．

認証画面に提示する写真群は，自動処理で以下の対応を実施

1. 400 x 300 の解像度に変換
2. 以下のものはデータセットから排除

• 写真の縦横比率が極端なもの
• 写真や圧縮後のファイルサイズが5Kバイト未満のもの

5Kバイト未満の写真を排除した理由は，それらは空白写真や撮影ミスによる写真と考えたからである．

実験結果はFigure 3に示されている

• 認証成否: 正規ユーザは全員が90%以上，攻撃者は50〜85%ぐらい
• 認証時間: 正規ユーザは1人を除いて60秒未満，攻撃者は例外が2名いるが，平均すると90秒前後

この結果から，特段の学習も必要とすることなく，個人認証は可能なことが明らかになった．

次にアンケート結果である．

• 安全性への意見: パスワード認証と比較して安全，と言う人もいれば，そうでないと言う人もいた
• 全般的な意見: 楽しい，使うのは簡単．しばらく見ていなかった写真を見て笑う人も!

Replay攻撃実験(replay attack):

想定状況: 攻撃者は正規ユーザの認証画面を全て捕捉していて，自由に眺めることができるという状況.
この状況下で，正規ユーザへのなりすましを対象ユーザごとに1回ずつ，8名の攻撃対象者に対して”なりすまし”を行なってもらった．

結果としては誰もなりすましには成功しなかった(Figure 4 recognition(%)より)．
ある攻撃対象者については、推測成功率が高かったが、それは当該ユーザの正解写真の多くが特定テーマ(extremely thematic)と見える写真 (家の建築風景)であったためである．

Discussion

今回の攻撃実験は，実験参加者が素人(casual attacker)であったことをふまえる必要がある．写真家や心理分析者などが攻撃者役としては適切かもしれない．
(実験結果を見るに，それでも結構な正解画像特定率のような気がするのだが)

Replay Attack:

observer attackとも言う．二者間の通信を傍受し、あとで同じデータを送ることでなりすましを行う攻撃方法．信用できない端末では全ての入出力を攻撃者に捕捉される可能性があるので危険．提案方法は，challenge image setが毎回変更されるので安全．またSecurIDのように何かを所有する必要もない．ただし，何度も認証画面を捕捉されると正解画像が推測される可能性は高まる．

Cognitive Attack:

この攻撃方法は，similarity attack / knowledge attackの２種類がありうる．

• similarity attack: 同一対象物を撮影している写真群を特定．画像認識で自動検出可能
• knowledge attack: 特定の知識により関連する写真を特定(Parisに旅行に行ったので…) (これは，いわゆる推測攻撃のことか)
  提案手法はknowldge attackには脆弱である懸念がある．ユーザの生活と所有する写真には相関があるのが当然だからだ．

これに対して，認証時間に制限をかけることがcognitive attackやreplay attackを検知するのに有用である可能性がある．(Figure 3(b)の結果より正規ユーザと攻撃者の認証時間には差があるため)

Coincident attacks

これは個人認証というよりも，信用ならない端末における問題．
その端末にProxyかagentプログラムが動作していて，ユーザの操作内容にアクセスし，同じ端末からリモートシステムへ処理を依頼することである．この攻撃は，正規ユーザがログインしてからログアウトするまでの間，実行可能となる．(malicous agentがログイン状態を維持してしまう懸念もある)．

Compromised attacks

システムがすでに侵害されているとしたらどうするか？ どうやってシステムを安全な状態に戻すのか？を考える必要がある．パスワードなら，再設定を行うことで安全な状態に戻すことができるが，提案手法の場合は難しい可能性がある．今まで使っていた正解画像が正解画像として使えなくなったとしても，その画像はユーザの記憶にあるので，ユーザは混乱(勘違い)してしまうだろう．
これに対して著者らは，正解画像群のサブセットを作成し，それを個人認証に使えば良い．攻撃者に特定されてしまったら，そのサブセットを破棄し，別のサブセットを正解画像として使えば良い，としている．定期的に正解画像サブセットを変更するのもありだろう．
(そんなに多くの画像をユーザが覚えておけるか？どこかのタイミングでmemory reharsal trainingをしないといけなくなるのではないか?)

Polling Attacks

アカウント情報収集のために，認証サーバに繰り返しアクセスすることを指す．
text passwordならば，ランダム攻撃や辞書攻撃で用いられる攻撃方法
提案手法の場合は，認証画面の画像集合や全画像群の収集に使われる可能性がある．
そういう攻撃が行われたとしても，正解画像が推測・特定されないようにする必要がある．

Future work

• 別の画像提示方法
• 認証画面に表示する画像群の選択方法
• 画像認識処理とフィルタリングによる類似画像の排除 (顔認識や色ヒストグラム)
• 認証時間による攻撃排除

写真を持っているユーザであれば，自分の写真はすぐに特定できることが分かった．自分が持つ写真は，その内容を知るまで(familiarになるまで)に一定の時間をかけているからでもある．しかし，写真コレクションを持っていない人，写真撮影するのに慣れていない人，そういう習慣のない人もいるのは事実で，そういうユーザに提案手法を利用させると安易な写真を適当に撮影し，攻撃者に安易に推測される写真を正解画像にしてしまう懸念がある．実際，この記事の著者４名のうち２名のみしか，写真コレクションを持っていなかった．

攻撃方法を観察して分かったことは，攻撃者はどれが不正解画像か？を特定していくことである．特に不正解画像をWebから収集したりすると，攻撃者はWeb検索を用いて不正解画像かどうかを特定できてしまう．これを回避するためには，他のユーザの画像を不正解画像を使うこととしたが，システムに提供した画像をそういう利用用途にも使うことをユーザが許可してくれるか？という懸念が残る．

— ends here