前評判の高かったiPhone Xが11月3日に販売された。その売りとなるのが顔認証システム「Face ID」だ。これは持ち主の顔の輪郭やおうとつを赤外線で読み取り、本人かどうかを判断するものである。
2017年11月3日に発売されると、世界中のハッカーたちのチャレンジ精神に火がついた。そして発売からわずか1週間後、ベトナムのセキュリティ企業「Bkav」の技術者が、顔認証システム「Face ID」を突破することに成功したと報告した。
その方法は人の顔を複製したマスクを使用するという、専門家が想定していたよりずっとシンプルなものだった。 公開されたYOUTUBE動画では、所有者の顔を再現した簡素なマスクでFace IDを騙す様子が紹介されている。スタッフの1人がマスクを覆う布を外すと、iPhone Xのロックはあっけなく解除された。
How Bkav tricked iPhone X's Face ID with a mask
3Dプリントしたシンプルなマスクで突破可能
iPhone Xに搭載された高度な3D赤外線顔マッピング機能とAIによるモデリング機能は、かなりシンプルなマスクに騙されてしまうようである。マスクはプラスチックで3Dプリントしたものに、シリコンの鼻および紙に印刷された二次元の目と唇を取り付けたに過ぎないものだ。
image credit:BKAV
顔認証は堅牢なセキュリティではなかった?
今のところ専門家による正式な検証はされていないが、高価なiPhone Xが約1万5000円程度で作ったマスクで突破されてしまうとは悲しすぎる。Bkav社は、今回の実験結果について「アップルのこの機能には問題がある」と語っている。「マスクに騙されるFace IDは、堅牢なセキュリティではない」のである。
ただし、実際にマスクを作るには、iPhone所有者の顔をきちんと正確に測定するか、デジタルスキャンをしなければならない。
Bkav社のスタッフの場合は、携帯用スキャナで5分ほどかけて測定したという。ちょっとしたイタズラ感覚ではできないことで、他人の顔を複製する手間と時間を考えれば、現時点では通常のオーナーが過度に心配する必要もないだろう。
image credit:BKAV
政府要人や大富豪、諜報機関は注意が必要
「狙われる危険があるのは一般的なユーザーではなく、大富豪、大企業の幹部、国家首脳などであり、FBIなどの諜報機関はこの顔認証の問題を理解しておく必要がある」とBkav社。彼らによると、将来的にはスマートフォンのスキャン機能でさっとこれをやってのけたり、写真からマスクモデルを作成するといった状況も考えられるという。
こうした正確な顔のスキャンを取得する難しさは別としても、このシンプルなやり方はもっとお金をかけたハッキング方法よりずっと効果的な方法ではある。
今回の実験は、3Dプリントしたものにいくつか安価な素材を取り付けたものだ。驚いたことに目は平面の印刷でしかない。マスクの製作過程について詳しいことは明かされておらず、それゆえにその真偽を疑う意見もある。
だが、Bkav社によれば、これはFace IDのセンサーが顔の特徴の一部しか確認していないために可能なのだそうだ。
image credit:BKAV
もし検証結果が本当ならば目の動きは考慮されていない?
仮にBkav社による顔認証破りが瑕疵(かし)のないものであれば、アップルの関連特許は目の動きを考慮していないということになる。この場合、Face IDには簡素なマスクだけでなく、所有者の睡眠中や意識を失っている状態、あるいは拘束中や死体の顔でさえも突破できるという脆弱性が残されているということだ。
特に最後のケースはFace ID特有の問題になるかもしれない。Touch ID(指認証)の場合、生体の伝導率が確認されるが、Face IDでは所有者の生死が問われないのである。
via:qz / arstechnica / indiatimes / estufsなど translated by hiroching / edited by parumo
指認証のやつでも、特に男女間で、寝ている間にiPhoneを指に押し付けられ中身を見られてしまったという話はよく聞く。というかまあ、完璧なセキュリティというものは存在しないという前提のもと、絶対見られちゃやばいやつはスマホの中に入れておかないことにしよう、そうしよう。政府要人とかセレブとかそういう人たちの場合にはほんと大変なことになりそうだね。
あわせて読みたい
完璧なパスワード。それは「脳紋」(英研究)
脳波を解析すればパスワードやPINコードを盗み出すことが可能(米研究)
これでもう安心?完璧なパスワードの作りの為の10のテクニック
iPhone 5sの指紋認証を次々と試される動物たち
顔認証アプリで本人を特定。地下鉄で見かけた人を撮影しSNSから本人を特定するプロジェクト(ロシア)
コメント
1. 匿名処理班
正直、顔認証って指紋や虹彩や静脈なんかと比べると滅茶苦茶ザルなイメージがある。個人的な話だが、あたしは今まで誰かとそっくりと言われたり、どこそこで見た(もちろんあたしのそっくりさんだが)という証言受けた経験が、いままでで少なくとも30回はあるせいでね。
実際のところ、信頼性ってどの程度の物なんだ?
2. 匿名処理班
そらそうやろ、としか言えんわ
たかがスマホのセキュリティやし、そもそもスマホでも虹彩認証当たり前の時代に顔認証(笑)
ゲーム専用スマホにゲーム以外の期待すんなや
3. 匿名処理班
フォトグラメトリつって、複数の写真を分析して3Dモデルを作る技術はすでに現役で使われてるからな。望遠でたくさん盗撮すれば本人に知られずに顔を複製できちゃうんじゃないだろうか。
4. 匿名処理班
マンション電子セキュリティーなんて紙一枚でハック可能だし
某TVカードに至ってはカード1枚とごみでハック可能という
お粗末さ
こんな単純な方法でもスクリプトキディは不可能だと思うし
逆に中級ハック以上ならもっと簡単にやっちゃうじゃないのかな
5. 匿名処理班
ドキュメンタリーでオバマ元大統領が大統領の頃スマホは追跡されるから持ってないんだよねーとか言ってたな
6.
7. 匿名処理班
静脈云々まで行ってやっとこの手の鍵はそこそこ信用できるかなって感じ。
8. 匿名処理班
ガバガバじゃねーか
9. 匿名処理班
指紋も同じで突破しようと思えばできるんじゃないの?
10. 匿名処理班
Xはいい話全く聞かんなぁw
11. 匿名処理班
「顔認証がー」という話もいいけど、どちらかというと、「iphon召龍杁SOS機能で救われた人の話」について書いた方が、食いつく人が多いと思うけど。
内容的には、磯釣りをしていた人が、いきなり意識がもうろうとして、意識がなくなり始めた状況下で、必死でiphon召療展擦鯱打したら、緊急SOS機能が働いて、病院で目が覚めたというものだけど。
「顔認証が突破されたー」という話よりも、「緊急SOS機能で万が一にも備えられるよ」と伝えたほうが、喜ぶ人が多いと思う。
12. 匿名処理班
戦国武将はこのために首を取っていたんですね
わかります
13. 匿名処理班
正面写真さえあれば3D起こしてワンチャンあるから結構怖いな
14. 匿名処理班
いたちごっこと表現されるけど、完璧が達成されれば、そこで技術の発展も止まってしまうねんやろな。
15. 匿名処理班
2
虹彩認証はこれより簡単かつ低コストで突破されてるんですが…
写真とコンタクトで突破される虹彩認証よりはマシとはいえAppleがアピールするほどの安全性は今のところなさそうだな
16.
17. 匿名処理班
所有者本人の顔マスク←え?
突破出来て当然では?
そもそもFBIや軍事は顔認証システムのザルさはとうの昔から知ってるし網膜スキャンがナウなんじゃねーの?
そんな事誰でも分かっとるのに警告だしてイキるのはどうなんだ
18. 匿名処理班
寝起きの顔が認証されないんだが。寝過ぎ?
19. 匿名処理班
簡素なマスクに見えてアイフォーンが測定しにいく位置はシビアに合わせてるのでないだろか。むしろ「ここまでやってやっと突破できる」という動画なのでは。そらデスマスク並のシロモノ用意すれば認証されるでしょう。
貼り付けた目と目の距離は何ミリまでズレてOK?とか、角度はどこまで?などを見せて欲しかった。
20. 匿名処理班
刑事コロンボでオービスに顔写真のお面
わざと引っかかってアリバイ作る話の
進化版だな
21. 匿名処理班
ATMの掌紋認証を大根のカツラ剥きで突破って話しなかった?
22. 匿名処理班
一般市民なら顔認証も有効だろうけど
それ以前に二段階認証をすべきだと思う
顔認証目当てでiPhoneを選択してる知人は二段階認証を設定してなかった
23. 匿名処理班
顔認証はずしてもう少し安くしてくださいオナシャス
24.
25. 匿名処理班
なぜ作る前に実験しなかったのか。
26. 匿名処理班
※11を補足すると、iphon召任覆てもiphon5s以降なら、OSをIOS 11にバージョンアップすることで、「緊急SOS」機能が使えるそうなので、iphonユーザーは「ios 緊急sos」でやり方を調べて、適用した方がいいと思う。
27. 匿名処理班
ばかもーん!そいつがルパンだー!!
28. 匿名処理班
※9
恋人なり結婚相手が寝てる間に指に触らせて浮気の証拠を掴むのはもはや常套手段。本文でも最後の方でちょっと触れてるよ。
29.
30. 匿名処理班
指紋も顔認証もセキュリティリスクは大差ないんだし、それなら利便性が大きく上回る指紋で良くねえか
31. 匿名処理班
顔認証に期待されてることは強固なセキュリティーじゃなくて便利さだから…(たぶん)
冬が近づいて乾燥してるせいか最近、指紋認証が読みとられなくてイラッとする
顔認証ならこんなことないだろうに!顔がむくんでたらダメだったりするのかな
32. 匿名処理班
テレビによく出る人なんてのは様々な角度からの画像が用意されてしまうから簡単に顔の複製は作れてしまうわけだ
もうひと押し堅牢にする何かが欲しいトコだなぁ
それこそ指紋認証と同時とか
33. 匿名処理班
中国の実験で、双子を判別できなかったんじゃなかったっけ?
まあ、何事も過信はいけないってことよね。
日本の要人と呼ばれる人たちには、その辺りにも気を使って貰いたい。
余り期待出来んけど。
34. 匿名処理班
パートナーが寝てる間にスパイ行為とか、スマホを覗くとか日常的に行われているようだけど、そのパートナーを裏切る背信行為自体が最も恥ずべき行為だと思う。
そういった卑しい魂は黙っていてもパートナーの心にも届いていて許されているにもかかわらず。耳が痛い人は己の行動を深く省みるように。
35. 匿名処理班
youtube動画で子供が寝てる親の指を使って親の携帯のロック解除しようとしたら出来なくて、子供が出てった後に親が起きて膝の上で寝てたネコの手でロック解除してた動画があったけど…。
ネコの指紋でもロック出来るんだね。
36. 匿名処理班
誰か、ペットの顔で登録してみて下さい。
37. 匿名処理班
すっぴんで顔認証したら誰だお前されちゃうの?
38. 匿名処理班
ベトナムのセキュリティ企業「Bkav」の技術者が本人の全面協力の元一週間かかって突破だからね。
スマホ程度のスキャン能力でそのくらいかかるなら本格的な機器を使えばどうなるかは分かるでしょう。
39. 匿名処理班
まぁ普通の人にはあまり関係ない話ではあるよね。
そこまで手間隙かけてセキュリティ突破して、やっと個人のスマホ一個だし。
40. 匿名処理班
※1
個人が手に入る顔認証はザルだが、それ専門に作ってて要所に設置されてる奴は信憑性すごい
マスクなんかは当然、特殊メイクや整形なんかも見破る
41. 匿名処理班
※38
わかる。破る側にももっと本格的な機器が必要になる。
42. 匿名処理班
インスタの自撮りとかバイトの履歴書写真から顔認証突破出来る日も遠くないかもなあ
43. 匿名処理班
you tubeで双子が検証してたけどそっくり双子ならお互い解除できてたよ
44. 匿名処理班
またか
顔認証何回突破されてんだよ
空港やパチ●コや防犯カメラも顔認証で登録されて
情報共有化とかやってるみたいだが
実際精度低いのかよシャレにならんだろ
45. 匿名処理班
この手の話は、永遠にいたちごっことしか言いようがない。ウイルスにワクチン、新たなウイルス登場、そしてそのワクチン登場。また新しい・・・
46. 匿名処理班
>所有者の顔を再現した簡素なマスクで
この時点でセキュリティ突破ほぼ不可能ってことじゃんw
47. 匿名処理班
やだーがばがば
48. 匿名処理班
パスワードでいいや
49. 匿名処理班
近年、個人認証システムにマイクロチップを手に埋め込むというのがあるけど、ヨハネ黙示録13章15節にこんなんあるけど、キリスト教国で反対しないのが不思議・・・
以下 抜粋
"それから、その獣の像に息を吹き込んで、その獣の像が物を言うことさえできるようにし、また、その獣の像を拝まない物をみな殺させた。また、小さき者にも、大いなる者にも、富める者にも、貧しき者にも、自由人にも、奴隷にも、すべての人々に、その右手あるいは額に刻印を押させ、この刻印のない者はみな、物を買うことも売ることもできないようにした。"・・・このあとに、例の666の下りがあるんだけど、「獣」を「スマホ」、「拝まない」を「信奉」、「刻印」を「体内埋め込み式の個人識別・仮想通貨などのマイクロチップ」と置き換えてみるとなかなか興味深い。おまいら頭いいから、当たり前すぎて時代遅れか・・・
50. 匿名処理班
なんで虹彩認証にしなかったんだろうね
どうせほとんどgalaxyの後追いみたいなもんだったんだし.....一応のプライドで違うものにしたのかな?
51. 匿名処理班
大多数の人間とっては十分強固なセキュリティだと思うが。
一般人が外出先で紛失した顔認証スマホが
わざわざこんな手間かけて突破するほど価値があるわけねーだろ。
52. 匿名処理班
※33
ザ・たっちという双子芸人も顔認証突破してる
53. 匿名処理班
考えてみりゃ写真でもいけそうだな
54. 匿名処理班
スマホ盗んで、SDカードから自撮り画像抜いて、プリントアウトするか自分のスマホに入れて認証するとか