詐欺師の間で「顔認証破り」が大流行なワケ：621st Lap

スマホのロック解除などに用いられる「顔認証」。今、詐欺師たちの間で、あるものを得ようと“顔認証破り”が流行っているという。なぜそこに目を付けたのか。そして、気になる認証突破法とは。

[キーマンズネット]

　スマホのロック解除の手段として用いられるなど、顔認証は身近な技術になりつつある。昨今のマスク生活の中では面倒だと感じることもしばしばだが、パスワードを打ち込むことなく認証できるのは、やはり便利さを感じる。

　パスワードを入力するよりも安全だと思われる顔認証だが、その安全神話を脅かす事案が発生した。今、顔認証技術が詐欺師たちの標的になっているというのだが、それはなぜか。そして、その目的とは。

　「The Wallstreet Journal」は、米国で大規模な顔認証詐欺が横行していると報じた。

　米国では失業手当の申請時に、本人確認と公的書類を照合するために顔認証技術を使っている。認証技術は米国のID管理ベンダーのID.meが提供しており、米国26州で採用されている。2020年6月から2021年1月までで、同社の顔認証システムをだます詐欺行為は8万件以上に上るという。目的は、もちろん失業手当を得るためだ。不正受給の被害額は数百億ドルに及ぶという深刻な事態だ。

　ID.meのCEO、ブレイク・ホール（Blake Hall）氏によると、顔認証システムを突破する方法には、「人型のマスクをかぶる」といった低級なものや、ディープフェイク（人物画像合成技術）を利用して顔情報を偽造するという高度な手法もあるという。

　この詐欺行為が横行したため、米国では2021年6月頃から失業手当の給付や申請が遅れているという。正規の手続きで給付を受けようとする人たちにとっては迷惑な話だ。

　信用調査会社Experianのセキュリティアナリストによると、今後「フランケンシュタインの顔」を利用した顔認証詐欺が起こる可能性もあるという。AI（人工知能）を利用してさまざまな顔を組み合わせ、“新たなアイデンティティー（身元）”を作り出すのだとか。

　この手口は、近ごろ急増している「合成アイデンティティー詐欺」と呼ばれる金融犯罪の一種である。米国では、FinTechなどの金融サービスにおいて、架空の顔を作り出して不正に口座を開設するケースが相次いでいるのだという。詐欺師はその偽造口座でお金を借り、返さずに行方をくらましてしまう。失業手当を狙った詐欺行為と似たようなことが、顔認証システムを採用するさまざまなサービスで起こり得るのだ。

　悩ましいのは、こうした高度な詐欺行為だけが顔認証システムをだますわけではないということだ。生体認証企業であるVerdiumのジョン・スペンサー（John Spencer）氏は「単に他人の顔写真を印刷して目を切り取るだけで認証を突破できてしまう顔認証システムも存在する」と指摘する。「まばたき」があるか否かで生体を分析するシステムだと、そもそも目がなければその機能をスルーできてしまうことがあるのだそうだ。

　スペンサー氏によれば、Appleの「iPhone」に搭載された顔認証システムは「だますのが最も難しい」という。iPhoneの顔認証システムは、人間の顔に3万点ものドットを投映すると同時に赤外線画像も分析し、生きている人間かどうかを見分けられるため、映像や印刷物を利用してもだますことはほぼ不可能なのだそうだ。ただ、あくまでもiPhoneの機能を使った場合であり、FinTechや銀行などが自社で用意した顔認証システムを使っている場合は、認証の精度は低くなるという。

　結局のところ、顔認証システムのセキュリティを今以上に向上させることが顔認証詐欺を防ぐ唯一の手段ではあるものの、それにはAIを鍛える必要があり、それには10倍以上のコストがかかるという。さらに顔認証がもたらしかねない人権問題を理由に顔認証技術から撤退する企業も相次いでおり、展望が見えないのも事実だ。

　生体認証技術は今後も必要とされていくことだろう。生体認証技術の中では簡単に利用できる認証方法だけに、もっと信頼に足る技術となってほしいものだ。

上司X：　顔認証を突破する詐欺が横行している、という話だよ。

ブラックピット：　そういえば、システムが原因で失業手当の申請や給付がうまくいかなくなっているというニュースを少し前に見たような気がします。

上司X：　しばらくそうだったらしいな。詐欺行為が多くて対応するのに時間がかかったんじゃないのかな。

ブラックピット：　まぁ、数百億ドルも不正受給されたらそりゃさすがに慎重にならざるを得ませんわな。

上司X：　そんなわけで顔認証にはちょっと暗雲立ち込めているというね。

ブラックピット：　指紋認証なんかよりもラクでいいんですけどねぇ。

上司X：　確かに最近のスマホを使ってればそれは感じるな。しかしスマホのロックはともかく、金融サービスや重要施設の立ち入りのようなクリティカルな部分には顔認証だけだと心配かもな。

ブラックピット：　そもそも写真やゴムマスクで詐欺ができちゃうシステムが悪いと思いますけどね。顔認証システムを提供している企業の責任を追及すべきです！

上司X：　まぁ、そうキミが憤っても仕方ないし。根本的に悪いのは詐欺を働く人間だ。日本だと顔認証だけで本人確認が終了するサービスってまだないとは思うんだが……。今後はどうなるか分からんからな。認証技術のさらなる進歩に期待したいところだ。

ブラックピット（本名非公開）

年齢：36歳（独身）
所属：某企業SE（入社6年目）

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ（中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった）。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X（本名なぜか非公開）

年齢：46歳
所属：某企業システム部長（かなりのITベテラン）

中学生のときに秋葉原のBit-INN（ビットイン）で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR（でも中古らしい）。人懐っこく、面倒見が良い性格。