顔認識を回避するには顔をどのくらい変更する必要があるのか？

スマートフォンやPCのログインにも導入されている顔認識技術は、はじめに素顔を登録していれば、メガネをかけたり化粧をしたりしても認識可能で、マスクやスカーフ、サングラスなどで変装しても問題なく本人だと認識できるものもあります。顔認識による監視システムを導入する国がある中で、そのような監視から逃れて「顔認証で本人と特定されない変装方法」について複数の専門家が解説しています。

How Much Do I Need to Change My Face to Avoid Facial Recognition?
https://gizmodo.com/how-much-do-i-need-to-change-my-face-to-avoid-facial-recognition-2000533755

最新テクノロジーやデジタル社会に関連するニュースを扱うメディアのGizmodoは、 コンピュータサイエンスなどを専門とする4人の教授に対し、「顔認識のAIを欺くためにはどれくらい外見を変えればよいのか？」と質問しました。

デューク大学のコンピュータサイエンス学部で研究に携わる特別教授のシンシア・ルーディン氏は、「最先端の顔認識を騙すために顔を変えるのは現実的ではないと思います」と述べています。ルーディン氏によると、新型コロナウイルスの流行によりマスクをする人が世界的に増えたことで、顔認識システムは顔全体よりも目元に焦点を当てるよう変更された可能性が高いとのこと。マスクをした上でサングラスをすれば、顔認識で誰かバレない可能性はありますが、それは顔を隠しただけで「顔認識を回避した」とは言いづらいとルーディン氏は指摘。

また、仮に整形手術で目元を大きく変化させることができたとしても、生活するうちに新しい顔と名前がインターネット上に流通し、あらゆる顔認識システムに捉えられるようになります。ルーディン氏は「顔認識を回避するためにはどのように変装すれば良いかという質問は、他人が私たちの生体認証をキャプチャするのを避けるのがいかに無駄であるかを示しています。顔認識システムを避けたいという気持ちがあるなら、顔を劇的に変えてしまうよりも、政府に私たちを守る法律を作るように頼むことがはるかに簡単です」と語っています。

ノートルダム大学でコンピュータサイエンス＆エンジニアリング学部の工学教授を務めるウォルター・シャイラー氏は、顔認識を回避するために外見をどの程度変えなければならないかという質問に対する答えは、顔認識アルゴリズムの使用方法によって異なると指摘しました。人間の生体認証ではカメラで捉えた人物がデータベースに登録されているIDと一致するか検証する「1対1」と、未知の被写体の写真を以前登録したデータベース全体と照合する「1対多」の2パターンがあります。「1対1」はスマートフォンやPCのログイン認証や空港のセキュリティなど、「1対多」は法執行機関や政府のスパイ活動などの監視で頻繁に使用されます。

シャイラー氏によると、顔認識アルゴリズムが大幅に進歩した現在、「1対1」モードを回避するのは非常に困難であるそうです。一方で、「1対多」モードは顔のパーツが少し欠けているとデータベースとの一致を認識することが難しく、夏にはサングラス、冬にはスカーフを常にしていると、監視者が十分なデータベースを得られない可能性があります。また、「1対1」では顔の角度が変わっても問題なく認識できますが、「1対多」では「常に下を向いて歩く」だけでも正面の顔をキャプチャできなくて困る可能性があるとのこと。

シャイラー氏は「今日のアルゴリズムは、ニキビや腫れ、整形手術など、顔の外観の微妙な変化に対してはかなり対応できます。顔認識を回避するための最善の実践的なアドバイスは、顔認識が導入されている場所を知り、その場所を避けることです。ただし、このアドバイスがどれだけ長く役立つかは、今後数年間でこの技術がどれだけ普及するかにかかっています」と述べました。

ミシガン州立大学工学部でコンピューターサイエンスおよびエンジニアリングを専門とする劉暁明(リュウ・ギョウメイ)氏は、まず「顔認識を回避する」という定義について、「被写体がカメラで撮影されたときに、顔認識システムが被写体の顔を認識できないこと」と前提付けました。その上で、顔認識システムを積極的に欺く方法を、劉氏は2点提案しています。

第1に、ほとんどのAIモデルは敵対的攻撃に対して弱いため、入力データサンプルの小さな変更によって完全にシステムが失敗する可能性があります。そのため、素顔がデータベースに登録されている時にマスクやスカーフ、口ひげなどで認識を回避することは難しいですが、それらを身に付けた顔を新しいデータとして更新させることができると、顔認証システムが失敗する可能性が高まります。

第2に、顔の外見を化粧によって大きく変えることで顔認識システムをダマすことができる可能性はあると劉氏は述べつつ、「どこにどのくらいの量の化粧をすれば顔認識を突破できるかという質問に答えるのは難しいです」と語っています。これは、顔認識システムの違いよりも人の顔の違いが重要で、比較的小さな化粧で他の人に似る顔もあれば、多くの化粧をしても他の人と誤認されにくい顔の人もいます。どこにどれくらいの化粧をすれば顔認識をすり抜けることができるかというのは、専用のアプリで顔を映すことで、化粧する場所を指示してもらうことができる可能性があります。

ノートルダム大学でコンピュータサイエンス＆エンジニアリングの教授を務めるシュブメル・プレイン・ファミリー氏は、「変装で顔認識を回避できるかどうかの答えは『場合による』です」と述べました。顔認識アルゴリズムは、顔画像から「特徴ベクトル」を計算する特定の方法と、認識した顔とデータベースの顔の2つの特徴ベクトルを比較してそれらの類似性を示す値を出しています。たとえば、類似性を示す値が「0から100(0が完全不一致、100が完全一致)」で出るシステムだとした場合、まったく同じ画像でなければ「100」にはならないため、「どの値から『類似』と見なすか」という「しきい値」はシステムによって異なります。

そのため、顔認識を回避するためには2つのことを知る必要があります。まずは、データベースにある古い写真がどのようなものであるかということ。古い写真が正面からの場合、下を向いてカメラの前を通るだけで値は大きく下がります。そして、そのシステムのしきい値がどれくらいか知ることができれば、古い写真からどれくらい顔を隠したり化粧したりすれば良いか判明します。しかし、どのようなしきい値が採用されるかはわからないことが多いため、「顔認識システムの知識を少しでも増やすことで、最も効果的なアプローチを試してみることができます」とファミリー氏は述べています。