写真から指紋が収集される時代がくる
指紋認証に問題が見つかる
そんな指紋が、SNSの写真などから収集されて偽装されてしまう恐れがある、というニュースが話題になっています。最近の高性能なカメラであれば、3メートルくらい離れた位置で撮影された写真でも、ピースサインから指紋が収集できるそうです。
SFやスパイ映画のような話で現実離れしている感じもしますが、「指紋認証の弱点」が浮き彫りになったニュースと言えます。今回は身近に使われている生体認証をテーマに問題点や身の守り方を考えてみましょう。
生体認証の落とし穴
指紋は唯一無二ですが、デジタル化された指紋情報はさじ加減(指紋の照合精度)で品質が変わります。それは、自分の指を押したときにその強弱で肌の伸びが違いますし、日によっては肌がむくむこともあります。いつも同じコンディションではないため、印鑑を比較するような完全一致を求めると、本人であっても認証に失敗してしまうのです。とはいえ、判定が甘いと他人の指紋でも許可してしまうことになります。指紋の情報は「特徴」を数字化します。そのため、計算結果のデジタル情報は機器で異なり、精度も異なります。ぼやけた写真から作った指紋でも突破できてしまう判定の甘い機器があるかもしれません。もしそのような判定の甘い製品と知らずに使っていれば、ユーザーにとっては落とし穴でしかありません。
指紋認証は、ゼラチンで型を取った人工の指紋やプリンタで印刷した指紋でも突破された事例があります。素材に肌の要素がなくても、指紋の複製には弱いというのが既知の事実です。そこに今回、物理的に本人に接触しなくても、ネットにあるピース写真から指紋を複製できるという攻撃方法が判明したわけです。
これらのことから、指紋で認証するという考え方に抜け道がないものの、それを実現する方法や運用の中で落とし穴ができてしまうこともある、ということが分かります。これは生体認証全般で言えることなので、どのような認証方法でも、なりすまし対策は別に考える必要がありそうです。
なりすましを防ぐには
なりすまし対策で注目されているものに二要素認証があります。銀行の生体認証では既に導入されています。二要素認証とは、「ユーザーが所有しているもの」、「ユーザー自身の特性」、「ユーザーが知っていること」のうち、2つ以上の要素を組み合わせて本人確認をする仕組みです。銀行の生体認証では、キャッシュカード(ユーザーが所有しているもの)、静脈認証(ユーザー自身の特性)、暗証番号(ユーザーが知っていること)の3つがそろって預金が操作できます。3つの要素で厳重に本人確認をするこの認証方法は、セキュリティーの安全性がより高いといえるでしょう。ピースどころじゃない!? 人工知能(AI)の恐怖
今回のニュースが話題になったのは「指紋が収集されてしまう」こと自体に強い抵抗感があるからではないでしょうか。「指紋」が読み取られてしまうのですから、「顔」や「声」といった生体情報の収集も軽視できません。たとえば、FacebookやInstagram、YouTubeなどのSNSから、声やしゃべり方、友人関係、最近の写真を人工知能が収集し、「先日の飲み会で財布を落としたので、助けてほしい。コンビニでプリペイドカードを買ってきて教えて」なんて、自分の声で知り合いに詐欺電話をかけるようなハイテクなオレオレ詐欺が、将来は当たり前になっているかもしれません。
ピース写真も含めて、インターネットやSNSで自分の情報をどこまで公開するのか、改めて考える時期にいるのかもしれません。
【関連記事】
・東京三菱 スーパーICカード 使ってみました!生体認証カード
【関連サイト】
・「ピースサインは危険!!」 3メートル離れて撮影でも読み取り可能