iPhoneのFace IDはハッキングされる可能性があるが、慌てる必要がない理由 - TechRepublic

今月初めに発売されたiPhone Xには、Face IDと呼ばれる新しい顔認証セキュリティ機能が搭載されました。iPhoneのTouch IDに代わる機能として設計されたFace IDは、赤外線スクリーンによる顔認証でユーザーを識別し、iPhone XへのアクセスやApple Payでの購入を承認します。銀行もこの機能を活用し始めています。

Appleは、Face IDはユーザーの顔を3万点の参照点を用いて認識するため、この機能が破られる可能性は極めて低いと説明していましたが、最近、ベトナムのBkav社が3Dパーツで作られたマスクでこの技術を回避しました。この発見は、この新機能を取り巻く一連の潜在的な欠陥のほんの始まりに過ぎないことを示しています。では、ビジネスユーザーは心配すべきなのでしょうか？

「Appleの顔認識機能は、強力な認証のためのセキュリティ対策として意図されたものではありません」と、FireMonの製品マーケティングディレクター、ジョシュ・メイフィールド氏は述べています。「強力な認証は、偽造、不正操作、改ざんができません。Appleの顔認識機能は、画面を見つめているユーザーが正しいユーザーである可能性が高いという前提から始まります。そこから、認識システムはその前提を確認することのみを追求します…その前提が間違っていることを証明しようとは決してしません。」

参照: モバイルデバイスコンピューティングポリシー (Tech Pro Research)

Tripwireのシニアシステムエンジニア、ポール・ノリス氏は、Bkavが実行したようなハッキングには多大な時間と労力がかかると述べています。「マスクを作るには詳細な寸法を測る必要があり、セキュリティ企業はマスクに特殊な素材を使用する必要があったことを示唆していました」とノリス氏は述べました。「彼らが明らかにしなかったのは、マスクを完璧に動作させるまでに何回試行し、どの程度の労力を費やしたかということです。」ノリス氏はまた、AppleのFace IDに組み込まれている特定のセキュリティ機能によってリスクを軽減できると指摘しました。顔認証に5回失敗すると、Face IDを動作させるために必要なパスコードの入力が強制されます。さらに、デバイスが以下の操作を行う際にパスコードの入力が必要になります。

電源を入れたばかり、または再起動したばかり
過去4時間以内にFace IDでロック解除されていません
過去6日半、パスコードでロック解除されていない
48時間以上ロックが解除されていない
リモートロックコマンドを受信しました
緊急SOS機能を開始しました

サイバーセキュリティ企業ImpervaのCTO、テリー・レイ氏は、ユーザーの双子や近親者がユーザーと外見が酷似しており、誤検知を引き起こす可能性があることをAppleも認めていると指摘した。さらに悪いことに、研究者らは過去に総当たり方式による顔認証に成功したことがある。

参照：特別レポート：IoTとモバイルの世界におけるサイバーセキュリティ（無料PDF）（TechRepublic）

レイ氏は、誤認証が発生する可能性もあると述べた。携帯電話の所有者が髭を剃ったり、髪型を大きく変えたりするなど、外見が大きく変化した場合、Face IDの認証に失敗する可能性があり、ユーザーの新しい外見に合わせてFace IDを再設定するにはパスコードが必要になる。

しかし、レイ氏は「平均的な消費者は、もちろん悪意のある一卵性双生児を持っていない限り、顔認識攻撃や誤認証の危険にさらされることはないだろう」と述べた。

Bhav氏が実行したようなハッキングには、3Dプリンターの材料費だけで約150ドルかかる。これは、潜在的な攻撃者にとって経済的に大きな痛手にはならないものの、大規模に投資されない可能性も低い。また、スマートフォン本体へのアクセスも必要となるため、その時点で既に物理的なセキュリティが一部破られているはずだ。さらに、マスクは48時間以内に5回試行すればロックを解除できるほど本物でなければならない。

「携帯電話1台の価値に、この労力をかけるだけの価値があるのだろうか？」とレイは言った。「特定の目的を持つ人にとってはそうかもしれないが、ほとんどのユーザーにとっては問題にならないだろう。」

レイ氏は、セキュリティ分野でよくある質問は、検討中のテクノロジーが目的に十分適していて使いやすいかどうかだと述べています。「完璧なものなどありません。適切なテクノロジーとは、安心して使用でき、許容できるセキュリティを維持できるテクノロジーです。」

以下も参照: