「iPhone Xの顔認証Face IDがあっさり突破」は悲しむべきニュースか?3つの視点でリスク評価

研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。

2018年02月16日 05時00分 公開
[Michael CobbTechTarget]

関連キーワード

Apple | iPhone | バイオメトリクス認証


顔認証システム「Face ID」を紹介するAppleのWebサイト画像《クリックで拡大》

 画面の盗み見やデジタルスパイからコンテンツを保護するため、顔認証を使用するアクセスコントロールが使われるようになっている。あなたがもし顔認証機能を搭載したハイエンドモデルのスマートフォンを購入したばかりのユーザーなら、それが破られる可能性があるというニュースを聞いて、きっと挫折感を味わうのではないか。

 実際、ベトナムを拠点とするセキュリティ会社Bkavの研究チームは、AppleのFace IDを欺くマスクを製作することができた。研究者は、iPhone XがAI(人工知能)と3次元(3D)赤外線マッピングを実装しているにもかかわらず、わずか数日間で顔認証の突破に成功したのだ。

 セキュリティに精通しているユーザーであれば、自身もしくは雇用主が所有するデータに対し、顔認証の突破がもたらす高いリスクを懸念することだろう。サイバーセキュリティに関連するニュースを日々チェックしている一般的な読者なら、独自の経験則を用いて新たな脆弱(ぜいじゃく)性のリスク要因を既に評価していると思うが、そうでない人は、以下に述べる3つの要因を考えてみてほしい。

コスト

 リスク要因として第1に考えるべきはコストだ。脆弱性を悪用して攻撃を仕掛けるために必要なハードウェア、ソフトウェア、さらには関わる人間の労力と知識を含む全てのリソースにかかる金銭的価値はどれほどか。例えば、Face IDの顔認証技術を打ち破った実際のマスクはいくらかかったのであろうか。Bkavによると、このマスクは「3Dプリントフレーム、手作りのシリコン製の鼻と、複数の2次元(2D)写真をマスクの上に重ね合わせたもの」を使って製作されたという。

 この方法はスマホ内のユーザーの写真を単に使用するよりも確かにコストがかかる。そして、この方法は初期の2次元(2D)顔認証システムより効果的であることが判明した技術でもある。とはいえ、高額な電信送金の権限や株価を左右するインサイダー情報を持つ人、例えば金融サービス企業のCEOが保有するiPhoneを入手することに比べれば、十分に低コストではある。

 コストはマスクの物理的を製作費だけでは語れない。Bkavの最高経営責任者(CEO)を務めるグエン・トゥ・クアン氏は、顔認証を欺くマスクを製作するには、専門知識が必要だと言う。Face ID用にAppleが開発したAIを彼らのチームが欺くことができたのは、AppleのAIがどのように機能するのか、また、どうすれば認証を迂回(うかい)できるか理解していたからだ。このようなタイプの知識を取得するには時間がかかる。

 Bkavの研究者は10年以上この分野に取り組んでおり、「Black Hat Europe 2009」で顔認証ソフトウェアを突破するための研究成果を発表してもいる。

動機

ITmedia マーケティング新着記事

news038.jpg

生活者の生成AI利用動向 10代後半はすでに5割近くが経験――リクルート調査
テキスト型生成AIサービスの利用経験者の割合は若い年代ほど高く、特に10代後半はすでに5...

news108.jpg

今度の「TikTok禁止」はこれまでとどう違う?
米国ではまたしてもTikTok禁止措置が議論されている。これまでは結局実現に至らなかった...