顔認証でロック解除を行ったり、お金を引き出したり、郵便物を送ったり、ホテルの受付手続きをしたり、高速鉄道に乗ったりするなど、今まさに顔認証の時代を迎えているが、「顔認証」は本当に安全なのだろうか。
▽2分30秒で顔認証の入退出管理システムに侵入
世界最高峰のハッキングイベント「GeekPwn2017大会」が10月24日に中国の上海で行われた。大会においてハッカー達はわずか数分間、最短数秒で顔認証や虹彩認証、指紋認証などの生体認証システムをハッキングした。
審査員が自分の顔を登録した入退出管理システムに侵入するのに女性ハッカーは2分30秒もかからなかった。彼女はWifiを通じてシステムに侵入してから、システムの抜け穴を利用してアクセス権を獲得し、登録しているデータを取り替えると説明した。
さらに不安なのは、あるハッカーは印刷した写真を使い、10秒足らずでスマートフォンのロック解除に成功した。審査員によると、理論的には、持ち主の写真だとはっきりと認識できれば、ロックの解除ができるという。
同大会の主催側の責任者は、「大会でシステムを攻撃する目的は恐怖を煽ることではなく、セキュリティホールを発見して、開発側が技術を改善して抜け穴を修復するようということだ。発見したセキュリティホールを会社にフィードバックして、より多くの会社と人々が技術のセキュリティに注意するようになる事を目指している」と話した。
▽スマートになるほど安全性が低くなるのか
ハイテクで便利そうに見える顔認証技術は本当に安全なのか。技術はスマートになるほどその安全性が低くなるのか。
果たして技術は発達していくのか。数多くの会社が、自社の顔認証技術の精度が99%を超えたと宣伝している。これについて、長期にわたって機械学習を研究している西安交通大学の教授は、この数値は世界的有名人の顔データベースをもとに得たものであり、実際には、人のサンプルがさらに多くなるほか、異なる明るさや姿、解像度などが機械の認識に影響して、大幅に精度が低くなるのだろうと指摘した。
安全性はコントロール可能なのか。現在、多くの会社が、生体認証への技術投入を増加させることにより、認証相手が「生きた人間」であることを確認して攻撃への防衛能力を高めている。顔認証によるお金の引き下ろしを例にして、農業銀行上海支社金融部の責任者はインタビューに対し、顔認証対応のATMにはダブルレンズの赤外線カメラが搭載されており、顔の細かい動作と細かい表情をチェックすることが可能である。その精度はスマートフォンのカメラより遥かに高く、変装や写真による不正認証を防止することができるという。
プライバシーは漏れるのか。生物学的特徴は唯一無二のものであるが、逆に安全性に欠けている。パスワードが盗まれた場合、新しいものに変更すれば大丈夫だ。しかし、大量の生物学的特徴データを保存するサーバーが攻撃され、データベースが盗まれても、新しい顔を作ることは不可能である。
▽複数の認証方法併用で安全性向上 急がれる生体認証に関する法律制定
奇虎360公司の副会長を兼任するシンガポール国立大学の顔水成教授は、「世界には完璧な技術は存在しない。もしある特定の場合において、新たな技術の精度が要求を満たし、エラーによりもたされるリスクも許容範囲内のものであるならば、その技術は価値があると見なされるだろう」と述べた。
メーカーにしても消費者にしても、トレンドを追いかけるなどの理由で未熟な技術を使用するべきではない。消費者はSNS、インタネットの場では、顔データを肝心な情報の「鍵」にせずに、「顔認証」技術に対し慎重な態度をとるべきだ。
安全面から考えると、とりわけ安全性が高く要求される金融の場では、「顔認証」は多くの種類の認証方法と併用したほうが良い。例えば、写真、ビデオ、3Dマスクなどのなりすましによるアクセスを防止するため、銀行で貯金を引き出す場合は、顔認証、携帯番号或いはIDカード認証、パスワードという三つの認証方法が採用されている。
数多くのメーカーは、採集した写真と人の顔の生物学的特徴に対して、ある規則に基づいて情報を変える「データ脱感作処理」を行うと表明しているのだが、ユーザーのプライバシーを保護するため、企業が自らを律するだけでなく、政府が業界における統一基準の確立を促さなければならない。さらに、中国はなるべく早く生体認証に関する法律や技術基準を定めるべきである。