スマートフォンの顔認証がよろしくない理由

顔で画面ロックを解除できる機能がスマートフォン最新機種のほぼすべてに搭載されるようになりましたが、セキュリティ面ではよろしくありません。

顔を使った認証は、スマートフォンに関しては自然な選択に思われます。スマートフォンを使っていれば、どのみち画面に顔を向けるわけですし。

スマートフォン業界全体としても、これに同意のようです。スマートフォンのロック解除に顔認証を使うことを最初に思いついたのはAppleではありませんが、同社がiPhone Xに顔認証機能を導入すると、いつものことですがスマートフォン業界全体が後に続きました。Mobile World Congress 2018では、展示されていたスマートフォンのほぼすべてに、この機能が搭載されていました。これはよろしくない傾向です。なぜよろしくないか、理由を説明しましょう。

実のところ、個人的には顔認証機能自体が悪いとは思いません。逆に、適切に実装すれば、指紋やPINコードによる認証よりも効果的ではないかと考えています。しかし、悪魔は細部に宿るのです。

Face IDの仕組みを説明した当ブログの記事では、認識システムの複雑さについて触れました。Face IDには、通常のカメラ、赤外線カメラ、ドットプロジェクタに加え、機械学習機能、安全なストレージ、データ処理機能が使用されています。高速で安全で信頼できるシステムを作るために、Appleは多大な労力と多額の資金を投入しました。そしてそれに見合うだけの価格設定をしています(iPhone Xは999ドル~、日本円で税別112,800円~)。

iPhoneの価格は、他のスマートフォンメーカーにとってはジレンマの種です。他メーカーのデバイスは一般にiPhoneより低価格で販売されていますが、それでいて機能や仕様の面では引けを取らないものにしなければなりません。メーカーはまず、スピーカーを安価なものにしたり、ストレージを遅いものにしたりと、無くてもすぐには困らない部分を削ろうとします。顔認証ロック解除モジュールから、赤外線カメラとドットプロジェクタを省くかもしれません。ただし、顔認証機能自体は残します。大事なセールスポイントですから。

顔でスマートフォンのロックを解除できる機能については、マーケティング資料で大きく宣伝しますが、その仕組みについては詳しく記載していないことが多いものです。おそらくそうした企業は、顔認証の機能、信頼性、そして安全性をどのように低く抑えたかについて、あまりはっきりと説明したくないのでしょう。

ほとんどの場合、安価なスマートフォンの顔認識機能は、前面カメラとそれほど先進的ではない何らかのアルゴリズムだけを使用し、フラッシュを使用して写真をきれいに写す程度で済ませているでしょう。しかし、IRセンサーやドットプロジェクタを使用しない通常の2Dカメラは、紙に印刷した写真や画面に表示した写真(たとえばソーシャルメディアのプロフィールから拝借したもの)で簡単にだますことができます(英語記事)。比較的きちんと作られているものでも、3D印刷のマスクを使った手口でだまされてしまう可能性があります。AppleのFace IDでさえも、3D印刷されたマスクを使ってだまされていますが(英語記事)、単純な写真で認証できてしまうスマートフォンはだまされやすい門番のようなものです。

それほどひどくはないが、それでも十分危険

適切なハードウェアが実装されていない顔認証ロック解除機能が広く使用されるようになると、最新のスマートフォンのセキュリティが全体的に低下することになります。幸い、現時点では、顔認証は認証方法として一般的になっていません。まだ、PINコードや指紋の方が一般的です。また、メーカーによっては、不正が難しい虹彩認証など、よりセキュリティの高いシステムを採用しているところもあります。

しかしながら、顔認証は最新トレンドであるため、安価なAndroidスマートフォンの利用者が顔認証に切り替えるケースが増えていくと個人的には見ています(「iPhoneでできることならこっちのスマホでもできる。しかも価格は10分の1だ!」とばかりに)。

顔認証機能を有効にする前に、自分のスマートフォンに搭載されている顔認証機能の仕組みを詳しく慎重に確認することを強くお勧めします。スマートフォンのセキュリティはしっかりしていなければならず、写真やマスクにだまされたり、データを漏洩させたり、データを不正に処理したりするなど論外です。指紋認証は、絶対確実とはいかないものの、現時点では顔認証よりは安全です。とはいえ、現在のところは、6桁のPIN/パスコードの安全性が一番でしょう。

ヒント

ホームセキュリティのセキュリティ

最近では様々な企業が、主にカメラなどのスマートなテクノロジーを活用したホームセキュリティサービスを提供しています。しかし、セキュリティシステムは侵入者からの攻撃に対してどの程度セキュアなのでしょうか?