Appleは最近、iPhone 8のよりプレミアム(かつ高価)なバージョンであるiPhone Xを発表しました。指紋認証のTouch IDに代わる顔認証システム「Face ID」など、いくつかの追加機能が搭載されています。Appleは最近の投稿と論文で、この機能のセキュリティに関する詳細を明らかにし、顔認証によるロック解除をこれまで(失敗に終わった)試みよりも優れている可能性を明らかにしました。
顔認証:失敗の歴史
顔認証技術は、特にモバイル業界において、最も信頼性の低い認証方法の一つであることが証明されています。GoogleやAndroid OEMがこうした機能をリリース(または再リリース)するたびに、システムはあっという間に、多くの場合数日で、しかも携帯電話の所有者の2D写真を使うといった簡単な操作でバイパスされてしまいました。
2D写真が顔認証システムを回避してしまう問題は何年も前から知られていたにもかかわらず、サムスンの最新主力スマートフォンであるGalaxy S8でも最近同じ問題が発生した。
研究では、人物の顔の3Dプロファイルを使用するシステムも回避できることが示されているため、多くの人がAppleの新しい3D Face IDシステムに懐疑的であることは不思議ではない。
Face IDのセキュリティ機能
Face ID には、簡単に回避されることを防ぐいくつかの新しいセキュリティ機能が搭載されていますが、最終的には、所有者の許可なく電話にアクセスしようとするセキュリティ研究者、悪意のあるハッカー、法執行機関からの攻撃に耐えられるかどうかはまだわかりません。
多くの顔認証システムが採用していない追加保護機能の一つに、赤外線カメラがあります。赤外線カメラは、人物の写真から赤外線プロファイルを抽出できないため、システムのセキュリティを強化します。また、暗い場所でデバイスのロックを解除する際に発生する問題も解消されます。
もう一つの方法は、「TrueDepth」カメラを使って、3万個のデータポイントからなる顔の深度マップを作成することです。このシステムはAppleだけが知っているアルゴリズムを使用しているため、誰かの顔を偽装したい場合、まずそのアルゴリズムをリバースエンジニアリングする必要があると思われます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
深度マップと赤外線画像は数学的表現に変換され、ユーザーがデバイスのロックを解除するたびに、最初に登録された顔データと比較されます。元のデータと後で変換された数学的表現は、Secure Enclaveに保存された鍵で暗号化されます。
Appleによると、Face IDの他人受入率(他人がデバイスのロックを解除できる確率)は100万分の1であるのに対し、指紋認証のTouch IDは「わずか」5万分の1です。しかし、これは必ずしもTouch IDがTouch IDよりも20倍安全であることを意味するわけではありません。誰かがあなたのスマートフォンに侵入しようとした場合、その人は既にあなたのオンライン写真や公共の監視カメラから取得した3Dプロファイルを持っている可能性があります。そのため、ランダムに撮影した人物写真ではなく、それらのデータから偽のプロファイルを作成するでしょう。
Face ID は機械学習を使用して、システムが実際の顔を識別するために必要なすべてのデータを持たないマスクや顔のその他の 3D プロファイルなどを使用して誰かがシステムを偽装しようとしたことも検出します。
Face ID は注目度も認識するため、目を開けてカメラをまっすぐ見ていないと、誰かがデバイスのロックを解除することはできません。
追加の保護
Face IDを使用するには、まずiPhoneのパスコードを設定する必要があります。以下の状況でもパスワードが必要になります。
デバイスの電源が入ったか、再起動された直後です。デバイスのロックが 48 時間以上解除されていません。過去 6 日半以内にパスコードを使用してデバイスのロックを解除しておらず、過去 4 時間以内に Face ID を使用してデバイスのロックを解除していません。デバイスがリモート ロック コマンドを受信した後です。顔の照合に 5 回失敗した後です。いずれかの音量ボタンとサイドボタンを同時に 2 秒間押し続けて、電源オフ/緊急 SOS を開始した後です。
最後の方法は、空港のセキュリティチェックを通過する前や、警官に止められた時など、物理的にデバイスのロックを解除させられるのではないかと不安な場合に特に有効です。一般的に、法廷では、生体認証でロックされたデバイスよりも、パスワードで保護されたデバイスの方が安全です。
さらに、携帯電話を紛失または盗難された場合、Appleの「iPhoneを探す」サービスが提供する「紛失モード」を使用して、リモートでデバイスのロック解除を阻止できます。これにより、誰かがあなたの携帯電話を盗み、あなたの顔を偽装しようとしてFace IDをバイパスするのを防ぐことができます(そもそも他のすべての保護機能を回避できたとしても)。
TrueDepthカメラには改ざん検出機能も搭載されています。改ざん検出機能がオンになっている場合、安全上の理由からFace IDシステムが無効になる場合があります。
求められている以上のもの
顔認証システムはこれまであまり良い実績がないため、Appleはシステムの機能に必要な範囲を超えて、バイパスされないように万全を期しているように見える。しかし、デバイス所有者の2D写真だけで無効化できる、一見安全そうな顔認証システムをユーザーに提供し続けているメーカーはあまりにも多く、この状況は理解できない。
モバイルデバイスで顔認証システムを利用することに関心のある人は、すべてのシステムが同等ではないことを認識する必要があります。実際、メーカーが追加のハードウェア(赤外線カメラや深度カメラなど)や、なりすまし防止アルゴリズム、そしてそれらをバイパスすることがほぼ不可能な保護対策を講じていない限り、ほとんどのシステムは安全ではありません。(もちろん、AppleはiPhone Xでまさにそれを行っています。)
その間、顔認証に使用される単純な前面カメラはおそらく安全ではないと考えられるため、指紋認証または PIN とパスフレーズを使用するべきです。
