2017/11/13

Apple の Face ID をシリコン製マスクで突破する方法が公開される

iphone 認証 FACE ID
2017 年 11 月 13 日 編集部記事

WIRED が日曜日の夜に発表した報告(英文)によると、Bkav というベトナムのセキュリティ企業が iPhone X の Face ID 顔認識システムを突破する方法を発見した可能性があることがわかりました。この方法では、シリコン製マスク、3D プリンタで作成したプラスチック、紙の切り抜きが使われており、この実験に関するブログ記事とデモ動画が公開されています。ただし、このテストは、他のセキュリティ研究者によって再現あるいは確認されたものではありません。また、多大な労力と時間が必要とされるものであり、スパイ映画に出てくる企業スパイや国家スパイが使うような高度な方法です。マスクを作成するには、本人の顔やデジタルスキャンの細かい測定値が必要であるため、iPhone の一般ユーザに対してこの方法が使われる可能性は極めて低いと言えます。

Face ID を「弱くする」方法がいくつかあり、それを使うことで、マスクを使って認証を突破できたとされています。Bkav のデモに登場する人物は眼鏡をかけていましたが、マスクには眼鏡が付いていませんでした。Face ID は、機械学習の要素を使って、帽子やスカーフの着用といった、ユーザの外見のちょっとした変化を読み取ります。ウォッチガードのセキュリティ研究者は、眼鏡をかけた顔を iPhone に学習させたことで、マスクに貼った目の画像との区別がつきにくくなり、突破が容易になった可能性があると述べています。Bkav はこのテストに関する詳細を発表しておらず、WIRED の質問に対する Apple の回答が得られていないため、未解決の疑問が数多く残されています。

ウォッチガードの CTO、Corey Nachreiner が先日、Tech Beacon のコラムで Face ID のセキュリティついて解説し、多要素認証こそが単一の生体認証トークンに勝る解決策であると説明しました。記事の一部を抜粋して以下にご紹介します。

Face ID のセキュリティは強力ではありますが、いずれかの段階で、研究者やハッカーによって突破する方法が発見されるでしょう。したがって、どれほど優れた設計であったとしても、単一の認証要素に完璧を求めることはできないと私は考えます。我々は、自分が知っているもの(パスワード)、自分が持っているもの(トークンまたは証明書)、または自分自身(生体認証)を認証方法として選択できますが、問題なのは、これらのトークンを盗んだり、推測したり、真似したりする方法が常に存在することです。

今回の Bkav のテストは、Corey の「どのような認証トークンであっても、最終的にはハッカーがそれを突破する方法を発見するだろう」という主張を裏付けるもののようです。安全性がさらに高い方法とは、今以上に精度の高い生体認証を使用することではなく、(精度の高いものであったとしても)複数の異なる認証要素を組み合わせて使用することです。どのようなトークンであっても、単一であっては、多要素認証に勝るものにはなり得ません。

詳細は、WIRED の記事全文と Bkav のブログ記事(いずれも英文)でご確認ください。Face ID と多要素認証については、Secplicity のこちらの記事を参照してください。