顔認証システムは長年、静止画像に騙されやすいという問題を抱えてきました。しかし、認証システムがよりスマートになるにつれ、それを騙す仕組みも進化しました。ノースカロライナ大学のセキュリティ研究者たちは、Facebookの写真から作成された顔の3Dモデルは、現在使用されているほとんどの顔認証システムを回避できることを発見しました。屋内で撮影された写真であれば、成功率は最大100%に達します。
3D仮想顔で顔認証を回避
顔認証システムは、2D写真に騙されやすいという問題を抱えてきました。例えば、Android 4.0に顔認証機能が搭載された際、写真でシステムをバイパスできることがすぐに証明されました。その後、Googleはシステムを更新し、被写体にまばたきを要求するようにしましたが、この解決策も簡単にバイパスされました。被写体が目を開いた状態と閉じた状態の2枚の写真を交互に表示することで、システムは被写体がまばたきをしていると誤認するのです。
Googleをはじめとする顔認証システムのメーカーは、これらのシステムを改良し続けてきたため、もはやカメラの前に写真を置くほど簡単には突破できなくなっています。しかし、セキュリティ研究者(あるいはその敵対者)も新しいシステムの解読に後れを取らないため、これはいたちごっこのようです。
攻撃者や研究者たちは、人物の顔の動画や3Dプリントマスクなどを用いて最新の顔認証システムを回避しようとする解決策を考案してきました。現在では、Facebookの写真から3Dバーチャルモデルを作成し、ほとんどの顔認証システムを回避することも可能です。テクノロジー企業はこの問題にも対処するでしょうが、その新しい解決策もまた、またしても回避されてしまう可能性が高いでしょう。
研究者たちはどのようにそれをやったのか
ノースカロライナ大学の研究者らは、潜在的な被害者の写真が十分に公開されていない、あるいは写真がさまざまな照明レベルの環境で撮影されているなどの制限を克服するために、コンピュータービジョンの分野で公開されている3D顔再構成手法を使用した。
仮想顔を作成した後、研究者たちはVRシステムを用いて顔認証システムの生体検知を欺く。認証システムはVR世界に仮想顔を提示し、人間が顔認証システムの前で顔を動かすのと同じように顔を動かすことができる。十分な労力とハードウェアリソースがあれば、VR世界を現実世界に可能な限り忠実に再現できるという事実が、この種の攻撃に対する防御を困難にしている。
VRベースの攻撃に対する緩和策
研究者らは、この種のVRベースの攻撃を困難にする可能性のある技術は3種類あると述べています。1つはランダムな光パターンの投影、もう1つは脈拍に関連する肌の色の微妙な変化の検出、そして3つ目は照射型赤外線(IR)センサー(IntelのRealSenseカメラがWindows Hello認証に使用しているもの)の使用です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
研究者らは、3つの脆弱性のうち、最初の2つは攻撃者が更なる努力をすれば回避できる可能性があるものの、3つ目はより深刻な困難をもたらすだろうと述べている。攻撃者が赤外線ディスプレイを搭載した特殊なVRハードウェアを開発すれば、それでも回避できる可能性がある。これは、国家支援を受けた敵対者や、リソースの少ない攻撃者でさえ容易に入手できる可能性がある。
生体認証の未来
研究者らは、顔認証用の赤外線フロントカメラを搭載したモバイルデバイスは、現在のスマートフォンに搭載されている顔認証技術のセキュリティを大幅に向上させる可能性があると述べています。しかし、多くの人がインターネット上に高解像度の自分の写真を投稿している現状を考えると、顔認証の防御技術が破られるのは時間の問題です。
そのため、顔認証は現在利用可能な生体認証の中で最も弱い認証方式と言えるでしょう。強度の順に並べると、顔認証に次いで虹彩認証(写真から抽出することは可能ですが、はるかに高い解像度の写真が必要になります)、音声認証(安全でない無線通信から抽出)、そして指紋認証となります。
以前の指紋認証システムは静止画像や指紋の型で回避できましたが、新しいシステムはよりスマートになっています。また、高解像度の指紋写真を入手するのは顔写真を入手するよりもはるかに難しく、型取り用の本物の指紋を入手するのはさらに困難です。
しかし、指紋認証システムには、他の生体認証システムと同じ大きな弱点があります。指紋が盗まれた場合、パスワードがハッカーに盗まれるのと同じように、事実上、代替手段がほとんどありません(というか、代替手段が極めて限られてしまいます)。一方、パスワードが盗まれた場合、事実上無限の代替手段で代替可能です。これは、ICチップとPINで認証するスマートカードやその他のハードウェアトークンでも同様です。
シンプルでありながら安全な認証という可能性は、テクノロジー企業だけでなく金融サービス企業にとっても依然として大きな魅力であり、そのため現在、生体認証の普及に向けた大きな取り組みが進められています。しかし、生体認証は実質的にユーザー名程度に留め(個人をより簡単に識別するため、パスポートや国民IDカードに生体認証を義務付けている国もある)、生体認証システムと併用して何らかのパスワードやスマートカードソリューションを活用するのがおそらく最善策でしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
