顔認証でロック解除を行ったり、お金を引き出したり、郵便物を送ったり、ホテルの受付手続きをしたり、高速鉄道に乗ったりするなど、今まさに顔認証の時代を迎えているが、「顔認証」は本當に安全なのだろうか。

▽2分30秒で顔認証の入退出管理システムに侵入

世界最高峰のハッキングイベント「GeekPwn2017大會」が10月24日に中國の上海で行われた。大會においてハッカー達はわずか數(shù)分間、最短數(shù)秒で顔認証や虹彩認証、指紋認証などの生體認証システムをハッキングした。

審査員が自分の顔を登録した入退出管理システムに侵入するのに女性ハッカーは2分30秒もかからなかった。彼女はWifiを通じてシステムに侵入してから、システムの抜け穴を利用してアクセス権を獲得し、登録しているデータを取り替えると説明した。

さらに不安なのは、あるハッカーは印刷した寫真を使い、10秒足らずでスマートフォンのロック解除に成功した。審査員によると、理論的には、持ち主の寫真だとはっきりと認識できれば、ロックの解除ができるという。

同大會の主催側の責任者は、「大會でシステムを攻撃する目的は恐怖を煽ることではなく、セキュリティホールを発見して、開発側が技術を改善して抜け穴を修復するようということだ。発見したセキュリティホールを會社にフィードバックして、より多くの會社と人々が技術のセキュリティに注意するようになる事を目指している」と話した。

▽スマートになるほど安全性が低くなるのか

ハイテクで便利そうに見える顔認証技術は本當に安全なのか。技術はスマートになるほどその安全性が低くなるのか。

果たして技術は発達していくのか。數(shù)多くの會社が、自社の顔認証技術の精度が99％を超えたと宣伝している。これについて、長期にわたって機械學習を研究している西安交通大學の教授は、この數(shù)値は世界的有名人の顔データベースをもとに得たものであり、実際には、人のサンプルがさらに多くなるほか、異なる明るさや姿、解像度などが機械の認識に影響して、大幅に精度が低くなるのだろうと指摘した。

安全性はコントロール可能なのか。現(xiàn)在、多くの會社が、生體認証への技術投入を増加させることにより、認証相手が「生きた人間」であることを確認して攻撃への防衛(wèi)能力を高めている。顔認証によるお金の引き下ろしを例にして、農(nóng)業(yè)銀行上海支社金融部の責任者はインタビューに対し、顔認証対応のATMにはダブルレンズの赤外線カメラが搭載されており、顔の細かい動作と細かい表情をチェックすることが可能である。その精度はスマートフォンのカメラより遙かに高く、変裝や寫真による不正認証を防止することができるという。

プライバシーは漏れるのか。生物學的特徴は唯一無二のものであるが、逆に安全性に欠けている。パスワードが盜まれた場合、新しいものに変更すれば大丈夫だ。しかし、大量の生物學的特徴データを保存するサーバーが攻撃され、データベースが盜まれても、新しい顔を作ることは不可能である。

▽複數(shù)の認証方法併用で安全性向上　急がれる生體認証に関する法律制定　

奇虎360公司の副會長を兼任するシンガポール國立大學の顔水成教授は、「世界には完璧な技術は存在しない。もしある特定の場合において、新たな技術の精度が要求を満たし、エラーによりもたされるリスクも許容範囲內(nèi)のものであるならば、その技術は価値があると見なされるだろう」と述べた。

メーカーにしても消費者にしても、トレンドを追いかけるなどの理由で未熟な技術を使用するべきではない。消費者はSNS、インタネットの場では、顔データを肝心な情報の「鍵」にせずに、「顔認証」技術に対し慎重な態(tài)度をとるべきだ。

安全面から考えると、とりわけ安全性が高く要求される金融の場では、「顔認証」は多くの種類の認証方法と併用したほうが良い。例えば、寫真、ビデオ、3Dマスクなどのなりすましによるアクセスを防止するため、銀行で貯金を引き出す場合は、顔認証、攜帯番號或いはIDカード認証、パスワードという三つの認証方法が採用されている。

數(shù)多くのメーカーは、採集した寫真と人の顔の生物學的特徴に対して、ある規(guī)則に基づいて情報を変える「データ脫感作処理」を行うと表明しているのだが、ユーザーのプライバシーを保護するため、企業(yè)が自らを律するだけでなく、政府が業(yè)界における統(tǒng)一基準の確立を促さなければならない。さらに、中國はなるべく早く生體認証に関する法律や技術基準を定めるべきである。（編集HQ）

「人民網(wǎng)日本語版」2017年11月8日