3Dプリンターで作った石膏の「顔」でスマホの顔認証は突破される危険性あり

スマートフォンのロック画面の解除には、従来の指紋認証に代わってAppleの「Face ID」などのように顔認証を利用するものが増えてきました。しかし、顔認証機能の安全性に関して、3Dプリンターで出力した「顔」を使ってロック解除できる危険性が指摘されています。

We Broke Into A Bunch Of Android Phones With A 3D-Printed Head
https://www.forbes.com/sites/thomasbrewster/2018/12/13/we-broke-into-a-bunch-of-android-phones-with-a-3d-printed-head/

3D-printed heads let hackers – and cops – unlock your phone | TechCrunch
https://techcrunch.com/2018/12/16/3d-printed-heads-unlock-cops-hackers/

ジャーナリストのトーマス・ブリュースター氏は、3Dプリンターで作った石膏の「顔」を使って、スマートフォンの顔認証を突破できるか調査しました。検証されたのは、AppleのiPhone X、LGのG7 ThinQ、SamsungのGalaxy S9、Galaxy Note 8、OnePlusのOnePlus 6で、いずれも顔認証によるロック解除機能を備えるスマートフォンです。

ブリュースター氏はイギリスのBackfaceに自分の顔を3Dプリントした石膏の像を注文しました。石膏の顔は50台のカメラを使ってあらゆる方向から作られた3Dデータを基にしており、出力された後、着色やタッチアップがされるとのこと。

結果は、石膏の顔によるロック解除を拒絶したのはiPhone Xのみで、Androidの4端末はすべてロックを解除したとのこと。G7 ThinQのように、ソフトウェアのアップデートにより回数を重ねるとロック解除しづらくなる機種もあれば、OnePlus 6のように、ほとんど抵抗することなく簡単にロックを解除してしまう端末もあったそうです。

ブリュースター氏によると、3Dプリンターで出力した偽の顔でのロック解除を許さないのはAppleの端末以外にも、MicrosoftのWindows Helloがあるとのこと。世界で最も価値のある企業として挙げられる2社が最高のセキュリティを提供しているという事実自体には、何ら驚くことはないと述べています。

なお、TechCrunchは警察などの捜査機関が3Dプリンターによって出力された「偽の顔」を使って差し押さえたスマートフォンのロックを解除する行為自体は、合衆国憲法修正第5条の「何人も刑事事件において、自己に不利な供述を強制されない」という条文に抵触しないため、作り物の顔を使ったロック解除でスマートフォンのデータへアクセスされる可能性を指摘しています。また、捜査機関だけでなく、悪意のある第三者からのハッキングリスクも考えれば、嫌われている「パスワード」こそデータを守る唯一のものではないかとも指摘しています。