生体認証の問題点 エラー多発の一方、寝てる親の指で指紋ロック解除 ネット写真のピースサインから読み取りの危険性も

　はてなブックマークを見ていたらちょうど同じ日に生体認証の話題が2つありました。どちらも問題点と言えそうなものです。しかも、この2つが正反対とも言える内容。本人なのに認識してくれなくなるエラーが多くて嫌になっちゃう人が出る一方で、暗証番号よりも簡単に突破できてしまう脆弱性みたいなものも報告されていたのです。

冒頭に追記
2022/07/14追記：
●はじめての生体認証…便利と思いきや失敗率が高くて大苦戦する　【NEW】


●はじめての生体認証…便利と思いきや失敗率が高くて大苦戦する

2022/07/14追記：新しく買ったノートパソコンに生体認証がついていたので使ってみました。生体認証初体験です。私のパソコンについてたのは指紋認証のみ。この登録のときにまず苦労しました。最初の登録で何度も触れて指紋を覚えさせる…のですが、なぜか途中でエラーになってしまうのです。

　その後、指紋を覚えてもらったのですが、やはり本番のログインの認証でもエラーが結構あります。1度エラーになって終わりではなく、数回失敗するチャンスがあるのですが、最後まで一度も成功しないときが3割くらい。半分以上は成功できるものの、成功率が低くて使いづらい…と思いました。

　なお、全部失敗した場合は、普通のパスワードのログインもできます。なので、安心して失敗することは可能。ただ、私は朝起きてすぐ暗い中で寝ぼけたまま枕元のパソコンをつけるので打ち間違いしやすく指紋認証なら楽だな…と思っていただけに当てが外れました。やはり生体認証は難しいと思います。

　ところが、一度間違って意図せずに触れたときにあっさりとログイン成功。あれ？と思って、軽く触るようにすると極端に成功率が上がり、ほとんど一発目で成功。失敗しても二発目か三発目で成功し、全部失敗することは全くなくなりました。どうも私が強く指を押しすぎていたみたいですね。

　で、このように成功率が上がってくると、やっぱり便利だな…と。最初のときに書いていたように、成功率が高すぎてもセキュリティが弱くなりかねない…という別の問題が出てくるのですが、とりあえず便利さは理解できました。使ってみると、手放せなくなる感じですね…。

2022/09/01追記：と書いていたのですが、何度やってもうまくいかず全部失敗…が再び頻発するように…。日中は大丈夫なので、夏になったせいで朝起きたときに指に汗をかいているとか、ふやけているとかが原因っぽい感じ。朝の寝ぼけてるときのパソコンログインで使いたいので、全く役に立ちません。


●生体認証の問題点：寝てる親の指で子供が指紋ロック解除

2017/1/11：うちの全体のタイトルとは違いますが、最初は一見微笑ましい将来有望な寝ている親の指で指紋ロック解除、6歳児がポケモン商品を大量購入 - CNET Japan(lfred Ng （CNET News） 翻訳校正： 編集部 2016/12/28 08:15)というニュースから。「彼女」と書いていたので、この天才児は女の子みたいですね。

　The Wall Street Journalによると、ポケモンのサトシになりたいというポケモン好きのAshlynd(読み方はアシュリンド？)ちゃんは、クリスマスの数日前にソファでうたた寝していた母親の親指を使って端末のロックを解除し、「Amazon」アプリを起動してしまいました。

　Ashlyndちゃんは、6歳児ながらすでにショッピングも楽しめるほどスマホを使いこなしています。大好きなポケモンの関連商品13点、総額250ドル(2万6000円くらい)を自分用に購入。Amazonアカウントがハッキングされたと思った両親に対し、自分が「ショッピング」したと告げたとそうです。悪気はありません。

　Howellさんが返品できたのは、購入商品のうちの4つだけ。そこで、HowellさんはAshlyndちゃんに対し、サンタクロースは彼女が指紋で悪さをしたことを知ったので、プレゼントを全部は持ってこないと告げたとのこと。記事ではこの事件を＜寝ているときにあなたを見ているのは聖ニコラオス(引用者注：ここではサンタクロースの言い換え)だけではないらしい＞と、気の利いた言い方で表していました。


●生体認証の問題点：本人なのに認識してくれないエラーが多発

　読んでの通り、上記は笑い話となっているものの、これは悪用も可能でしょう。家族内であっても、夫や妻のスマホに無断で侵入といった事態が考えられます。これだけでも生体認証の未来感が好きだった私には辛い話でした。ところが、この一方で、生体認証が認識してくれなくなるという逆方向の困った事態もあるそうです。

　「人類に生体認証は早すぎたんだ」（その１：銀行ATMの手のひら静脈認証編） - しいたげられたしいたけがそういう人だったんですが、これのはてなブックマークの人気コメントを見ていると、こうした事例は他にもありそうな感じ。元ネタのタイトルの「人類に生体認証は早すぎたんだ」は冗談として大げさに言ったというものでしたが、案外大げさでもないかもしれません。

“冬になって寒くなると、血管が収縮してしまうからダメらしい。自分は乾燥に弱いので、冬になると指先が荒れるので、指紋認証はNG。駐在先が指紋認証使っていた時には、それでよく困って、別の人に開けて貰っていた”(dazz_2001　2016/12/28)
“昔サーバ室入るのに静脈認証使ってる現場に行ったことがあるが、あれも猛烈に失敗した。”(reachout　2016/12/28)
“10:: 実際早すぎるみたいですよね。わたしもまだ手を出さないようにしてます。 ”(garage-kid　2016/12/28)
“手のひら全体の静脈認証は季節や体調の差が激しいから、指紋認証か指先だけの静脈認証にしないと……とは思うが。虹彩+指紋認証ぐらいでも静脈認証よりは早いんじゃないかな。”(adramine　2016/12/29)

　また、最初のほのぼのニュースと正反対の方向性だと書いたように、これはジレンマかもしれません。こうしたジレンマは生体認証に限らないものだと思われますが、生体認証への憧れが崩れてしまったので残念でした。

“認識系は誤認識との戦いだからな。緩くすると曖昧でも動くけど別の意図しないものでも動き、厳しくすると正しいものでも動かない。小さい的を射抜くヤブサメのようなもの。”(rti7743　2016/12/28)


●生体認証にメリットは「なりすまし」不可能…だったはずが…

　なお、指紋認証は生体認証の一つだというのを確かめるために調べていたところ、偽造不可能というところが強調されていることがわかりました。まあ、最初の指紋認証を突破されたケースも確かに偽造されているわけではないんですけど…。

＜生体認証＞
＜ユーザー認証が必要なシステムで、本人確認のために人体の特徴を利用するもの。他者と一致せず、変化や偽造がしにくいことが求められ、指紋、手のひらや指の静脈、眼球の虹彩などが用いられている。(中略)人体の特徴を利用するため「なりすまし」が不可能である反面、特徴の読み取り精度が万全とは言えず読み取りエラーが起きることがある＞(知恵蔵2015の解説　生体認証(セイタイニンショウ)とは - コトバンクより)

　ここでは、今回の話と違う「眼球の虹彩」というのも挙がっていますが、この書き方ですと、読み取りエラーが起きるという問題点はいっしょなのだと思われます。とりあえず、「眼球の虹彩」だと女の子がやったような「寝ているうちにこっそり」だけは難しそうですね。


●危険？ネット写真のピースサインから読み取りの危険性も

　下書き時点ではここまででしたが、指紋認証については、ネット写真のピースサインから読み取りのおそれを指摘している方もいるようです。2017年01月09日 16時12分 更新　「ピースサインは危険」――ネットの写真から指紋盗まれる恐れ、研究機関が警鐘[産経新聞]という記事が出ていました。

＜「カメラに何げなくピースのサインをするだけで、指紋が出回ってしまう」。指紋の盗撮防止技術を開発した国立情報学研究所の越前功教授は、こう警鐘を鳴らす。顔と手を一緒に撮影した写真をネットに掲示すると、個人と指紋を特定される恐れがある＞

　国立情報学研究所の実験では３メートルの距離で撮影した画像でも読み取れることが判明しているそうですから、未来の話ではなく既に可能といった感じでした。

　また、指紋と違って直接危険性は指摘はしていないものの、スマートフォンの認証には、顔の画像、模様が人によって異なる目の虹彩なども利用されていると記事では書かれていましたので、これもまた盗まれる可能性があるという意味かもしれません。

　こうなってくると、もう何もかもが危険って感じですね。はてなブックマークでは、＜つまり、普段は人に見せない体の一部を認証に使えば良いという事ですか？＞(Nanigashi999　2017/01/09)という意味深なジョークも出ていました。

　真面目な対策としては、基本的にネットに写真は載せないというのが一つ。もう一つ、やはり生体認証は使うべきでないという答えがもう一つ。ということで、本当、生体認証は期待していた私としては、たいへん残念なことになってきてしまいました。


●iPhoneの新顔認証システムは「写真で騙されない」に証拠なし

2017/10/26：別投稿iPhone Xの顔認証システム、シャープのせいで出荷遅れ？日本の技術流出は嘘だったで、iPhone Xの顔認証関連の部品の製造が遅れているという話を検索していました。そのとき見つけた記事によると、そもそも顔認証関連の部品が遅れているのは、歩留まりが悪いからだそうです。

　「歩留まりが悪い」というのは普通、不良発生率が高いという意味。ただ、ひょっとしたら完成したものの顔認証精度が悪くて使えない…ということかもしれません。仮にそうであれば、この話自体が、最初の投稿で書いた「本人なのに認識してくれなくなるエラー」と似た話となります。

　一方、より直接的に当初の投稿の話と関連するのが、iPhone Xの顔認証について、セキュリティ専門家に聞いてみた(2017/10/6 06:01　BF Japan News　Davey Alba　BuzzFeed News Reporter)という記事の話です。「iPhone X」の顔認証システム「Face ID」は、高いセキュリティを誇ると宣伝されていたものの、そうではない…という内容でした。

　Appleのワールドワイドマーケティング担当シニアバイスプレジデント、フィル・シラーさんは、悪意のある人間がFace IDシステムを騙してセキュリティを突破する確率は100万分の1と説明。Face IDはユーザーの顔を学習するので、眼鏡をかけたり、ひげを生やしたりしても対応できる上に、写真で騙されることもないとも説明されています。

　ただ、話を聞いていた専門家らは、どの人もこの主張を聞いて素晴らしいとは言っていませんでした。独立機関によるiPhone Xの検証はまだ行われておらず、そもそも本当かどうか不明。セキュリティ・アナリストのウィル・ストラファックさんは、以下のように指摘していました。証拠なしの主張は非科学的です。

「Face IDがTouch IDよりも誤認率がはるかに低いのが本当だとしたら、Appleはセキュリティについてのホワイトペーパーを新たに公表すればいいと思う。そうすれば、独立した研究者が確認できる」


●セキュリティの専門家たちはが絶対使わない「顔認証」という認証方法

　また、たとえ100万人に1人であってもセキュリティを突破できるのであれば、確率が低かろうが重要ではないと、IBM傘下のセキュリティ企業Resilientで最高技術責任者（CTO）を務めるセキュリティ研究家ブルース・シュナイアーさんは説明していました。

　なので、「セキュリティ専門家たちは、電話をアンロックするためにその方法（顔認証）を使ったりしない」と言っています。専門家がやらないような悪い方法なのにみんなやりたがる…というのは、だいぶ違う話なのですが、レーシック手術をする眼科医がレーシックをせずに、メガネをかけているという話を思い出してしまいました。

　とはいえ、なぜ確率が低かろうが重要ではないのかがわからないので、この説明はしっくり来ませんでしたけどね。素人的には、100万分の1しか成功しないなら、悪いことをしようとする人たちは非効率だと思って試さないのでは？と思ってしまいます。まあ、今回の場合は、それ以前の問題で、アップルが誇張しているのでは？って話なんですけど…。


【その他関連投稿】
　　■パスワードの定期的な変更や秘密の質問は安全ではなくむしろ危険？
　　■アンチウイルスソフト、55％の攻撃を検知できず シマンテック幹部が発言
　　■日本の迷惑メール対策は甘い？シンガポールは1通65万円の罰金
　　■ハッカー(クラッカー)を犯罪者扱いする日本はおかしい…は本当か？
　　■ハッカー(クラッカー)は所詮犯罪者、反省せず再犯するに違いない？
　　■ネット・コンピュータ・ハイテクについての投稿まとめ