ご注意:モバイルデバイスの顔認識アンロックは簡単に騙せる
SamsungのGalaxy Note 8が店頭に並ぶ日が近づいているが、ここで重要な注意がある。顔認識アンロック(Face Unlock)は指紋認識によるアンロックに比べてはるかに脆弱だ。テクノロジー・ニュースに詳しい向きはGalaxy S8のリリース時にこのことを聞いただろうし、今回のNoteでもそうだろう。要するに顔認識アンロックは簡単に騙せる。
なるほど実験のビデオがバイラルで有名になった原因には多少のセンセーショナリズムや反射的に情報を拡散するユーザー層の存在もあったかもしれない。しかし世界で毎日使われるポピュラーなモバイル・デバイスをロックするには現在の顔認識よりもっと安全なテクノロジーが必要だという点に注意を喚起する役には立った。
Galaxy Note 8の実機がますます多くの人々の手にわたるにつれ、顔認識を騙してアンロックするビデオはいちだんとたくさんアップロードされるようになった。私自身も試してみたが、実のところ2台のスマートフォンを使い、自分の顔写真を利用してロックを解除するトリックに成功するには多少苦労した。しかしSamsungに取材してみると、同社自身も「Face Unlockはセキュリティーを確保する上で理想的な方法ではない」と認めた。
Samsungでは顔認識アンロックをスワイプによるアンロックのようなものだと考えている。TechCrunchに寄せられた同社のコメントによれば「顔認識はスワイプと同様、アンロックのために手軽に使える便利な機能と考えてもらいたい。われわれはきわめて高度なバイオメトリクスによる安全性の高いユーザー認証機能を用意している。Samsung PayやSecure Folderを利用するには指紋か虹彩を利用したアンロックを行う必要がある」ということだ。
Samsungの回答は率直なものと言っていいだろう。たとえばGalaxy S8の設定でセキュリティーのタブを開くと、 アステリスクを付された注意書きに「顔認識は他の生体パターン、PIN、パスワードに比べて安全性では劣る」とある。ユーザーはいろいろなメニューの中に存在する高速アンロック機能(「あなたの顔は登録されました」とうるさく出てくるメッセージがそれだ)をオフにすることができる。Samsungによれば「この機能をオフにすると画像、ビデオによる不当なアンロックを困難にすることができる」という。
しかし顔認識アンロックはデフォールトでオンの状態のようだ。繰り返しになるが、Face Unlockはスワイプによるアンロックと同種のモードで、手間なしで便利だが、強固な安全性を目指した機能ではない。
Samsungは顔認識アンロックをさらに強化するべきだろう。あるいは虹彩スキャンのような手軽で安全なアンロック方法が搭載される以上、顔認識アンロック機能は搭載するべきではなかったかもしれない(まだ発売前なので今からでもそうすることはできる)。
AppleもiSamsungのものに似た顔認識アンロック機能をiPhone 8に搭載するという情報もある。それが事実ならこの問題は来週再燃するかもしれない。多くの人々が顔認識アンロックを騙すビデオを作ってアップロードすることになるのは間違いない。Qualcommでは顔認識をAndroid機の標準機能として組み込もうとしている。どの程度のセキュリティーが実現されるのか注目だ。
セキュリティーはそれぞれのプロダクトごとに個別性が高い。たとえばシステムに3Dテクノロジーによる凹凸認識機能を加えれば、別のスマートフォンの画面に2次元の顔写真を表示することで騙すのは困難になるだろう。デバイスのメーカーは搭載されているセキュリティー関連のテクノロジーについて、その能力や効率性などのデータを正しくユーザーに伝える義務がある。またデバイスの設定にあたってはユーザーも「注意書き」までよく読み、選択肢を慎重に考える必要があるだろう。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)