2013 Fiscal Year Research-status Report
Smudge攻撃に耐性を有するタッチスクリーン型モバイル端末向けユーザ認証方式
| Project/Area Number |
25330159
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (C)
|
| Research Institution | Tokai University |
|---|
Principal Investigator |
内田 理 東海大学, 情報理工学部, 准教授 (50329306)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
菊池 浩明 明治大学, 総合数理学部, 教授 (20266365)
|
|---|
| Project Period (FY) |
2013-04-01 – 2016-03-31
|
| Keywords | タッチスクリーン / スマートフォン / Smudge攻撃 / ユーザ認証 / 画像認証 |
|---|
| Research Abstract |
近年、スマートフォンやタブレット型端末など、タッチスクリーン搭載型モバイル端末が急速に普及しており、今後もこのような傾向が継続すると考えられる。スマートフォンやタブレット端末などのモバイル端末においては、機密情報を含むドキュメントファイルの閲覧やダウンロードが日常的に行われており、従来型の携帯電話よりもセキュリティの向上が必要とされる。スマートフォンには、「指リスト方式」という、画面上に表示される9 つの点から4つ以上の点を自身で設定した順番でなぞる、タッチスクリーンの特性を活かした認証方式が存在する。しかしこの認証方式には、スクリーン上の汚れから認証パターンを推測するというsmudge 攻撃が存在する。
平成25年度の研究では、smudge攻撃に耐性を有するスマートフォン向けユーザ認証手法の提案を行った。提案手法は、複数枚の画像を表示し、パス画像をフリックさせることにより認証を行う。パス画像の提示場所が認証毎にランダムに変化する。パス画像は、ユーザ自身が直近で撮影した画像を利用する。そのため、写真撮影を行う度にパス画像が更新される。本研究で提案したスマートフォン向けユーザ認証方式は、スクリーン上をなぞる動作のみで認証する方式であるため利便性が高く、さらになぞる動作での認証に対する攻撃手法として知られているsmudge攻撃に対して高い耐性を有している。本手法は、ユーザ自身が認証対象のスマートフォンで撮影しスマートフォン内に保存した最新画像をパス画像、スマートフォン内に保存されているそれ以外の画像をおとり画像として用いることで、ユーザの記憶負担を軽減させるとともにobservation攻撃、intersection 攻撃、及びeducated guess攻撃への安全性も併せて向上させている。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成25年度は、smudge攻撃に耐性を有するスマートフォン向けユーザ認証方式の一つとして画像を用いた認証方式を提案した。画像認証は、通常のパスワード方式における文字列の代わりに画像を用いて認証する方式であり、その利点としては画像は記憶が比較的容易であること、キーロガーなどによるハッキングへの耐性が高いことなどが挙げられる。提案手法では、パス画像とおとり画像を複数枚表示し、それを決められたルールに従って指でフリックすることによりアンロックする方式を採用した。パス画像とおとり画像の表示方法の工夫により、smudge攻撃への耐性を持たせることが可能となった。また、これまで提案されている画像を用いた認証方式は、推測攻撃やのぞき見攻撃に対する耐性の面で課題を残しているが、提案手法ではカメラ機能を搭載したスマートフォンの特性を活かし、パス画像をユーザが日々撮影する写真によって逐次更新することによる耐性強化を検討した。本内容は学術論文誌に投稿し、掲載された。
以上の内容は交付申請書に記載した研究実施計画にほぼ従っており、おおむね順調に進展していると評価できる。
|
| Strategy for Future Research Activity |
まず、平成25年度に提案したタッチスクリーン搭載型モバイル端末実機に実装し、検証実験を行う。本検証実験では、ユーザの操作感やパス画像の記憶負荷などについて、詳細に調査を行う。平成25年度に提案した認証方式では提示画像は9 枚であるが、提示画像の枚数を様々に変化させて実験を行い、最適な画像提示枚数を導出する。実験は、複数の被験者を対象として継続して実施することにより、信頼性の高い結果の導出を目指す。
次に、画像を用いた認証方式にジャイロセンサやGPS など各種センサを併用し、タッチスクリーン搭載型モバイル端末での利用に最適化されたユーザ認証方式の開発を行う予定である。例えば端末をシェイクする回数や傾ける方向・角度などを認証パターンとして利用し、それらを画像認証に組み合わせれば、セキュリティ強度を向上させることが可能であると考えている。
研究の最終段階として、利便性(小さいタッチスクリーンでも利用しやすいか、認証に必要な操作数が少ないか、認証時間が短いか等)とセキュリティ強度との関連性を複数の被験者を対象とした検証実験により詳細に調査する予定である。また、タッチスクリーンでの認証において他人受け入れを回避する手段について、更なる検討を行い、実用的なモバイル端末向け認証アプリケーションの開発を目指したい。
|
| Expenditure Plans for the Next FY Research Funding |
平成25年度予算として、国際会議、及び国内学会で研究成果を公表するための旅費、及びその参加費用を計上していたが、平成25年度は学術論文誌への投稿を優先したため、国際会議、国内学会での成果発表は実施しなかった。また、実験補助のための謝金を予算に計上していたが、平成25年度は理論的な提案を優先したため、検証実験を実施しなかった。以上の理由により、繰越金が生じた。
平成25年度繰越金、及び26年度請求分を合わせて、以下の使用を計画している。
まず、提案手法を実装し、検証実験を実施するためのタッチスクリーン型モバイル端末の購入を予定している。また、検証実験の実験補助の謝金として利用する。さらに、研究成果を国際会議、及び国内学会で発表するための旅費・参加費として利用する。データ整理用の消耗品費としても一部を利用予定である。
|
