今年の秋に公開されたAppleのフラッグシップモデル”iPhoneX”に、新たにFaceID(顔認証)が搭載された事は記憶に新しい。

Appleは、iPhoneXの発表時に、他人がiPhoneをアンロックする確率が「5万分の1まで下がった」と豪語している。

ですが、そのFaceIDが、ベトナムのセキュリティ企業Bkavのセキュリティ研究者によって破られたようだ。

3Dプリンタに2D画像を貼り付けたマスクを作成

FaceIDを破るマスクは、以下の様になっているという。

(Bkavセキュリティ研究者によって作成されたマスク)

また、実際にBkavがこのマスクを使ってFaceIDを破る動画が公開されている。

www.youtube.com

(Bkavのセキュリティ研究者によるデモンストレーション動画)

FaceIDを突破する技術を開発したBkavのセキュリティ研究者は、iPhoneX所有者の顔を忠実に再現したマスクを製作したわけではない。

なぜなら、FaceID技術が公開された時に発表されたとおり、Appleもマスクへの対策はしているからだ。

以下は、FaceIDエンジニアチームが作成してFaceIDのAIに覚えさせたマスクの画像

(iPhoneXローンチイベントのKeynoteプレゼンテーション)

実はBkavの研究者は、「iPhoneXの所有者の顔に似たマスク」ではなく、「FaceIDの認証アルゴリズムを突破するマスク」に注目したようだ。

Bkav研究者は、美容手術でも使用される素材、シリコンだけに頼らずに、他の技術もミックスした。

まず、ターゲットの写真データを元に顔型のマスクを3Dプリンタで成型。

次に、シリコンで作成された鼻をそのマスクに貼り付ける。

最後に、所有者の目と口の2D画像を、3Dモデルに貼り付けた。

たった$150で突破できるFaceID

恐らく、AppleはFaceIDの技術を開発するために膨大な時間とコストを費やしたのではないだろうか。

だがBkavの研究者は、たった$150の費用を使い、僅か1週間でFaceIDを突破したようだ。

$150というと、一般ユーザーからしたら「高い」と思うかもしれないが、企業役員や政府要人等がiPhoneXを所有していたら話は全く別だ。

更に、そのような”ハイステータス”にいる人達は、往々にしてインターネットからイメージデータを入手できる場合が多く、その分狙われるリスクも高まる。

発売前から懸念されていたFaceIDのセキュリティ

実は、iPhoneXの発売前から、FaceIDのセキュリティが心配されていた。

AndroidにはiPhoneXに先駆けて顔認証ロックが搭載されていたのだが、認証登録している持ち主の写真をカメラに向けることでロック解除できたからだ。

www.youtube.com

iPhoneXの発表から発売されるまで、一ヶ月程ラグがあったわけだが、メディアではiPhoneXのFaceIDについて様々な憶測が伝えられていたのだ。

「便利さ」か「セキュリティ」か

往々にして、「便利さ」を優先すると「セキュリティ」が甘くなってしまう事がある。

だが、Appleが開発したFaceIDは、「便利さ」と「セキュリティ」の両方を追求して得た、Appleなりの最適解だと思う。

AppleもFaceIDについて以下の様に説明している。

触れることよりも自然な動作は何か。見ることです。Face IDはそんな視点から生まれました。パワフルで、安全で、Touch IDよりもさらに便利なこの認証システムなら、すばやく、簡単に、直感的に、ロック解除と支払いができます。

だが、今回ベトナムのセキュリティ企業BkavによってFaceIDを破れる証明がされてしまった。

実はBkavは以前からAppleの認証アルゴリズムについて研究を重ねており、今回のFaceIDを破るマスクの詳細な作成方法を公開していない。

つまり今すぐにFaceIDが第三者によって破られるリスクが高まるわけではない。

また、多くのユーザーに行き渡れば、認証に使っているAIも更に賢くなっていくので、マスクでFaceIDを破る事もできなくなってしまうだろう。

今はまだ、AppleがiPhoneXをリリースしてからまだ数日しか経っていないので、Appleが今後どFaceIDのセキュリティを向上していくか、温かく見守っていきたい。