「iPhone Xの顔認証Face IDがあっさり突破」は悲しむべきニュースか？：3つの視点でリスク評価

研究者たちがAppleの顔認証プログラムである「Face ID」を1週間もたたないうちに突破した。だが、それはユーザーの懸念にはつながらないだろう。なぜか。

顔認証システム「Face ID」を紹介するAppleのWebサイト画像《クリックで拡大》

　画面の盗み見やデジタルスパイからコンテンツを保護するため、顔認証を使用するアクセスコントロールが使われるようになっている。あなたがもし顔認証機能を搭載したハイエンドモデルのスマートフォンを購入したばかりのユーザーなら、それが破られる可能性があるというニュースを聞いて、きっと挫折感を味わうのではないか。

　実際、ベトナムを拠点とするセキュリティ会社Bkavの研究チームは、AppleのFace IDを欺くマスクを製作することができた。研究者は、iPhone XがAI（人工知能）と3次元（3D）赤外線マッピングを実装しているにもかかわらず、わずか数日間で顔認証の突破に成功したのだ。

　セキュリティに精通しているユーザーであれば、自身もしくは雇用主が所有するデータに対し、顔認証の突破がもたらす高いリスクを懸念することだろう。サイバーセキュリティに関連するニュースを日々チェックしている一般的な読者なら、独自の経験則を用いて新たな脆弱（ぜいじゃく）性のリスク要因を既に評価していると思うが、そうでない人は、以下に述べる3つの要因を考えてみてほしい。

コスト

　リスク要因として第1に考えるべきはコストだ。脆弱性を悪用して攻撃を仕掛けるために必要なハードウェア、ソフトウェア、さらには関わる人間の労力と知識を含む全てのリソースにかかる金銭的価値はどれほどか。例えば、Face IDの顔認証技術を打ち破った実際のマスクはいくらかかったのであろうか。Bkavによると、このマスクは「3Dプリントフレーム、手作りのシリコン製の鼻と、複数の2次元（2D）写真をマスクの上に重ね合わせたもの」を使って製作されたという。

　この方法はスマホ内のユーザーの写真を単に使用するよりも確かにコストがかかる。そして、この方法は初期の2次元（2D）顔認証システムより効果的であることが判明した技術でもある。とはいえ、高額な電信送金の権限や株価を左右するインサイダー情報を持つ人、例えば金融サービス企業のCEOが保有するiPhoneを入手することに比べれば、十分に低コストではある。

　コストはマスクの物理的を製作費だけでは語れない。Bkavの最高経営責任者（CEO）を務めるグエン・トゥ・クアン氏は、顔認証を欺くマスクを製作するには、専門知識が必要だと言う。Face ID用にAppleが開発したAIを彼らのチームが欺くことができたのは、AppleのAIがどのように機能するのか、また、どうすれば認証を迂回（うかい）できるか理解していたからだ。このようなタイプの知識を取得するには時間がかかる。

　Bkavの研究者は10年以上この分野に取り組んでおり、「Black Hat Europe 2009」で顔認証ソフトウェアを突破するための研究成果を発表してもいる。

動機