Sophos Cloud Optix
スマートフォンの顔認証機能を迂回するのはどれほど簡単なのでしょうか。
オランダの消費者保護団体である Consumentenbond によると、数十種類の Android モデルに関してはおそらく所有者が予想しているよりも遥かに簡単だということです。
Consumentenbond の研究者らは 110 個のデバイスをテストし、そのうち 42 個の顔認証機能が所有者の顔写真だけで突破できることを発見しました。
Consumentenbond はテストの詳細を一部しか公開していませんが、解像度の高い写真を利用したわけではないとみられています。つまり、ソーシャルメディアのアカウントからダウンロードしたものや他のスマートフォンで撮影したセルフィー等も含め、どのような写真でも認証が突破できる可能性があります。
このテストの結果は一見顔認証機能を利用する価値はないということを示しているように見えますが、反面、Samsung、Huawei、OnePlus および Honor のハイエンド Android モデルや Apple の最新の XR モデルや XS モデルを含め、68 個の端末の顔認証機能はこの単純な方法では突破されませんでした。
複雑なことに、テストに不合格だったモデルの多くは Asus や Huawei、Lenovo/Motorola、LG、Nokia、Samsung、BlackBerry、Xiaomi など、テストに合格した携帯電話と同じベンダーから販売されているものでした。Sony に関しては、テストされた全てのモデルが不合格でした。さらに、Honor のあるモデル、および LG のモデルのうち 6 つは strict モードを有効にしたときにのみテストに合格しました。
一般に、高価な携帯電話の方が安価なものよりも良い結果を出しましたが、そうでない場合もありました。例えば、1,000 ドルで販売されている Sony の Xperia XZ2 Premium (米国版) が不合格だった一方、その 3 分の 1 以下の値段の Motorola の Moto G6 は合格でした。テストに合格した携帯電話のモデルの一覧は Consumentenbond の Web サイトに掲載されています。
Apple の Face ID vs. その他の顔認証システム
Apple は 2017 年に iPhone X を発売するにあたり、Face ID 技術を大々的に宣伝しました。iPhone X はプレミアモデルであり、その高価な値段を正当化する必要があったからです。
Face ID は単に所有者が iPhone をロック解除するのを便利にするためだけのものではなく、ユーザー認証機能を含む、より高度なシステムへの第一歩だとされていました。
個人を確実に識別することができれば、端末のセキュリティ水準は遥かに高まります (Apple は他人が Face ID を用いて端末のロックを解除できる可能性は 100 万分の 1 だと述べています)。
しかし、その主張は研究者らに Face ID の脆弱性を探すのを諦めさせるには至りませんでした。実際、iPhone X が発売されて数日のうちに顔を模した立体マスクを用いて Face ID を突破する方法が発見されたと発表されました。
それでも、同様の、あるいは高価な Android 携帯に搭載されている顔認証技術と比較すると Face ID は依然先を行っています。前者は蝋でできた頭部の模型で突破できますが、Face ID はその手法では突破できません。
問題は、スマートフォンの所有者がこれらの技術を利用する際に何を念頭に置いておくべきか、という点です。
現時点では、Consumentenbond の写真を利用した簡単なテストに不合格だった携帯電話を使用している場合は、PIN コードや指紋認証など代わりのセキュリティ機能を利用することを推奨します。
Apple によって技術は進歩しましたが、今日の多くのスマートフォンの顔認証機能は完全に信頼できるものではなく、むしろ発展途上にあるものです。