顔認証でロック解除を行ったり、お金を引き出したり、郵便物を送ったり、ホテルの受付手続きをしたり、高速鉄道に乗ったりするなど、今まさに顔認証の時代を迎えているが、「顔認証」は本当に安全なのだろうか。

▽2分30秒で顔認証の入退出管理システムに侵入

世界最高峰のハッキングイベント「GeekPwn2017大会」が10月24日に中国の上海で行われた。大会においてハッカー達はわずか数分間、最短数秒で顔認証や虹彩認証、指紋認証などの生体認証システムをハッキングした。

審査員が自分の顔を登録した入退出管理システムに侵入するのに女性ハッカーは2分30秒もかからなかった。彼女はWifiを通じてシステムに侵入してから、システムの抜け穴を利用してアクセス権を獲得し、登録しているデータを取り替えると説明した。

さらに不安なのは、あるハッカーは印刷した写真を使い、10秒足らずでスマートフォンのロック解除に成功した。審査員によると、理論的には、持ち主の写真だとはっきりと認識できれば、ロックの解除ができるという。

同大会の主催側の責任者は、「大会でシステムを攻撃する目的は恐怖を煽ることではなく、セキュリティホールを発見して、開発側が技術を改善して抜け穴を修復するようということだ。発見したセキュリティホールを会社にフィードバックして、より多くの会社と人々が技術のセキュリティに注意するようになる事を目指している」と話した。

▽スマートになるほど安全性が低くなるのか

ハイテクで便利そうに見える顔認証技術は本当に安全なのか。技術はスマートになるほどその安全性が低くなるのか。

果たして技術は発達していくのか。数多くの会社が、自社の顔認証技術の精度が99％を超えたと宣伝している。これについて、長期にわたって機械学習を研究している西安交通大学の教授は、この数値は世界的有名人の顔データベースをもとに得たものであり、実際には、人のサンプルがさらに多くなるほか、異なる明るさや姿、解像度などが機械の認識に影響して、大幅に精度が低くなるのだろうと指摘した。

安全性はコントロール可能なのか。現在、多くの会社が、生体認証への技術投入を増加させることにより、認証相手が「生きた人間」であることを確認して攻撃への防衛能力を高めている。顔認証によるお金の引き下ろしを例にして、農業銀行上海支社金融部の責任者はインタビューに対し、顔認証対応のATMにはダブルレンズの赤外線カメラが搭載されており、顔の細かい動作と細かい表情をチェックすることが可能である。その精度はスマートフォンのカメラより遥かに高く、変装や写真による不正認証を防止することができるという。

プライバシーは漏れるのか。生物学的特徴は唯一無二のものであるが、逆に安全性に欠けている。パスワードが盗まれた場合、新しいものに変更すれば大丈夫だ。しかし、大量の生物学的特徴データを保存するサーバーが攻撃され、データベースが盗まれても、新しい顔を作ることは不可能である。