2015年11月16日

ハッカーは簡単に人の顔を盗めるか

セキュリティ ニュース

サイバー犯罪者はあらゆる種類のデータを狙っています。個人情報、写真、動画、さらには交流関係まで知ろうとします。このようなデータはSNSから盗まれ、オンラインのどこかに公開され(英語記事)、金儲けを目論む他の犯罪者に売られるというパターンがほとんどです。

といっても、デジタルID(アイデンティティ)を構成するのはSNSアカウントからの情報だけではありません。技術の進歩に伴い、ネット上でのアイデンティティの構成要素となりうる情報も増え続けています。当然ながら、それらも盗難や偽造に遭う可能性があります。

他人の顔と取り替える

identity-theft-featured

すでに、ビデオ電話で「他人の顔をかぶる」ことは可能です。やり方次第では、偽の顔と本来の顔の見分けがつかないほどリアルに見せることができます。

2011年に登場したアプリは、ビデオ中の顔に別の写真の顔を重ねることができました。顔を動かしても、重ねられた別人の顔はリアルタイムで変化します。アンジェリーナ・ジョリーの唇が欲しい、ブラッド・ピットの顔になりたい、という願望も、Photoshopなしで実現するというわけです。このアプリがあれば(英語記事)。

もちろん、2011年の時点では、アルゴリズムの完成度はいまひとつでした。その4年後、FacebookのOculus Riftの開発者と南カリフォルニア大学の研究者が、仮想現実ヘッドセットを着けた人の顔の表情をトラッキングし、仮想のキャラクターに投影する方法を発表しました(英語記事)。これは、オンラインゲームなどさまざまな用途に応用できます。たとえば、WarcraftのようなMMORPG(多人数同時参加型ゲーム)のキャラクターにゲーマーのしかめっ面を反映させたら、面白くなりそうです。

以前から、ビデオチャットで表情の移し替えができることはわかっていました。最近になって、スタンフォード大学の研究者がその方法を発表しました(英語記事)。

驚嘆すべき話に思われますが、例によって新しい開発というものは、良い目的に利用される可能性もあれば、人を騙したり、詐欺を働いたり、違法に利益を得たりといった悪い目的に利用される可能性もあります。そして間違いなく、サイバー犯罪者はテクノロジーを悪用して金儲けすることにかけては大いに創造性を発揮します

脆弱性のないある生体認証

今どきは、指紋を使って入館するスポーツジムがあります。米国の大手フィットネスクラブ24 Hour Fitnessは、この方式を採用しています。ニューヨーク大学の医療センターでは、患者が保険証の代わりに手のひらを出し、PatientSecureシステムで各人固有の静脈パターンを読み取るようになっています(英語記事)。

この状況を別の観点から見てみましょう。私たちはパスワードを使ってインターネットサービスにアクセスしています。パスワードが不正使用されたら、すぐにパスワードを変更できます。プラスチック製のクレジットカードも、紛失や盗難があった場合は1~2週間ですぐに再発行できます。

これに対して、指紋や虹彩のパターンといった体の一部を使う認証方法ではどうなるでしょうか。サイバー犯罪者にコピーを作成されたからといって、体の一部を新しく作ることなどできるでしょうか?

なりすましの被害に遭った場合、問題が解決されるまで3年も5年も待つことになる可能性があると言われています(英語記事)。

そんなに長く待てない場合もあります。DNAを偽造できるという研究結果が出ていますが(英語記事)、偽造されたDNAが犯罪現場に仕込まれたらどうなるでしょうか。

偽造できるのか

実際、指紋や虹彩のスキャンデータといった生体認証データの偽造は、それほど難しくないことがわかりました。何よりも厄介なのは、対象から離れていても偽造できることです。AppleのTouch IDをハッキングして有名になったドイツの生体認証専門家、ヤン・クリスラー(Jan Krissler)氏は先ごろ、高解像度の写真から虹彩や指紋をコピーする方法を発見しました(英語記事)。

クリスラー氏は、ドイツのメルケル首相の記者会見の写真から虹彩データを抽出しました。雑誌に載った写真を使って犯罪者が同じことをする可能性があります。また、データをコンタクトレンズに印刷すれば、虹彩スキャンシステムを騙せることも確認されました。

指紋の偽造も同じくらい簡単です。たとえば、クリスラー氏は一般的な一眼レフカメラと200mmレンズを使って偽造に成功しました。手を撮影した写真があれば、犯罪者はダミーを作成して実に簡単に指紋スキャナーを通過できます。

生体認証にはまだ改善の余地があります。新しい技術は、個人情報を守る特別な保護システムを整備した上で導入するべきです。そうしないと、その技術に脆弱性が見つかり、ハッキングするための調査研究が行われるでしょう。詳しくは次の機会にお話しします。当面は警戒を怠らず、昔ながらのパスワードと2段階認証技術で重要なデータを守ることを強くお勧めします。