HSBCの「声紋認証」、双子は識別できない? BBC検証

  • 2017年05月19日

ダン・シモンズ、テクノロジー番組「クリック」司会者

BBCのダン・シモンズと双子の兄弟ジョーさんは銀行の声紋認証システムをだますことに成功した
Image caption BBCのダン・シモンズと双子の兄弟ジョーさんは銀行の声紋認証システムをだますことに成功した

声の特徴を周波数で示す「声紋」で本人確認する銀行の認証システムは、双子でも識別できるのか――。そんな疑問を持ったBBC番組の司会者が双子の兄弟の協力を得て試したところ、システムがだまされてしまう結果が出た。

テクノロジー番組「クリック」のダン・シモンズ記者は、大手銀行HSBCで口座を開設し、声紋認証サービスに登録した。

HSBCは、声は「一人ひとりに特徴がある」ため、声紋認証は安全だと話している。

しかし、シモンズ記者の二卵性双生児の兄弟、ジョーさんがシモンズ記者のふりをして電話を掛けたところ、口座にアクセスできた。

HSBCは2016年に声紋認証を導入。本人確認ができるよう、人の声の特徴を100項目にわたって検証したと説明していた。

「とても心配」

銀行の顧客は電話口で、口座情報に加えて生年月日を述べ、「私の声がパスワードです」と言えば口座にアクセスすることができる。

ジョーさんは今回、お金を引き出すことはできなかったが、残高や最近の取引を知ることができ、送金も可能だった。

ジョーさんは、「ダンの声をまねて7回も認証を試すことができたのが、本当に気がかりだ。おかげで8回目の正直でシステムに入れてしまった」と語った。
Image caption HSBCは広告で、声は「一人ひとり違う」ため声紋認証は安全だと述べている

「これが犯罪者でも、入れるまで好きなだけ何度でも試せてしまうのだろうか」

「クリック」のスタッフがこれとは別に、本人以外の声でわざと何度も認証を試した際には、12分間にわたって20回繰り返し試すことができた。

声紋認証のセキュリティーを破ったのは、「クリック」が初めてだとみられる。

HSBCは、声紋認証がこれまでどの程度安全だったのかについてコメントするのは控えるとしている。

同行の広報担当者は、「口座の安全性は我々にとって最も重要で、声紋認証は非常に安全性の高い本人確認方法だ。双子の声紋は似ているが、この技術の導入で不正が大幅に減少し、暗証番号やパスワードや短文章認証よりも安全だと証明されている」と述べた。

他人が口座にアクセス

ファーストベース・テクノロジーズのセキュリティー専門家、マイク・マクローリン氏は、「衝撃を受けた」と話す。

「こんなことはあってはならない。他人が口座にアクセスできてはいけない。声は人によって違うが、違う声で何度も試せるようなシステムは、安全ではない。今回はまさにそれが起きたようだ」

Image copyright Thinkstock
Image caption 声紋認証の本人確認は安全なのか、双子を使って検証が行われた

英サザンプトン大学のサイバーセキュリティー専門家、ブラディミロ・サソーネ教授は、生体認証は一般的には安全対策として効果的だが、企業が100%安全ではないものを信頼しすぎるのは危険だと指摘する。

サソーネ教授は、「原則として、間違いの余地は排除すべきだ」と話す。教授は、「認証は1回で十分」だとした上で、「声紋認証はパスワードのシステムとは違う。自分の声を忘れたり、間違ったりはできない。2回試せば、システム側は声紋が合っているかどうか分かるはずで、それでも試そうと繰り返す人がいたら銀行に警告が行くべきだ」と語った。

生体認証によってハッカーは侵入しにくくなるはずだが、もし声や顔や指紋を犯罪者に複製されてしまったら、本人はそれをパスワードのように簡単に変更するわけにいかないと教授は言う。

サソーネ教授は、「口座にアクセスしたのは自分ではない、他人やソフトウェアが真似したのだと証明しなくてはならないとしても、いったいどうすればいいのか」と指摘する。

「特に銀行側が、システムは完璧だと主張している場合」

Image copyright 1joe
Image caption 声紋認証は100項目にわたる声の特徴を利用するとHSBCは説明する

英サリー大学のセキュリティー専門家、アラン・ウッドワード教授は、本人確認を一つの生体認証のみに頼るのは危険だと話す。同教授は、「生体認証ではこれまで、情報がコピーされる事例が続いている」と語った。

「グミを使う手口から手が写った写真まで、これまでさまざまな方法で指紋が写し取られている。このため生体認証はほかの安全対策と同様、仕組みを破る脅威が生まれるのに合わせて進化し続ける必要がある。セキュリティーは常に、新しい手口と対策のいたちごっこだ」

ウッドワード教授は、HSBCはおそらく技術の見直しを行う必要があるし、できることなら本人確認には声紋認証以外にもう一つ「要件」を足すべきだと指摘した。

「本人にしかない特徴のほかに、本人だけが持っているもの、例えば暗証番号のようなものが必要だ。それによって侵入がずっと難しくなる」

Image copyright deepblue4you
Image caption グミで作った型で指紋が盗まれた事例もある

一部のテクノロジー企業が懸念するのは、コンピューターをだます人間の能力にとどまらない。

ベンチャー企業のライアバードは、声を数分間録音するだけで、その声を複製できる技術の開発に取り組んでいる。

共同創業者のホゼ・ソテロ氏は、この技術が声紋認証に確実に「影響を及ぼす」と考えている。

同氏は番組「クリック」に対し、「今後どの方向に進めばいいのか、セキュリティー研究者らと一緒に検討している」と話した。

「技術をまだ公開していない理由のひとつだ。怖いアプリケーションンソフトだが、慎重に、技術を恐れることなく、最善の使い方を見つける努力をすべきだと考えている」

「音声に『透かし』を入れて、もし我々の技術で複製されたものならすぐに検知できるようにする案も、検討している」

(英語記事 BBC fools HSBC voice recognition security system

この話題についてさらに読む