お金や個人情報に関するサービスや機器、会社の施設や企業秘密など、さまざまな場面でセキュリティ対策が重要になっている今日このごろ、手軽でセキュリティも高い方法として「生体認証システム」が数多く使われています。ご存じのように、顔や指紋、指の静脈、瞳の中の虹彩(こうさい)のパターンなど、個人特有の情報でその人を特定することで、単なるパスワードより頑丈なセキュリティを実現しているものが多々あります。

こうした生体認証システムは、これからさらに利用シーンや利用方法が増えていくと予測されていますが、一方で、システムの弱点や大きな問題点が見つかっているものもあるようです。

耳の形や目の網膜、匂いでも

iPhone Xが発売された際に、持ち主の顔で認証できるという「Face ID」は話題になりましたが、いまやスマートフォンでも指紋認証などが搭載されているものは珍しくありません。個人情報が詰まったものだけに、セキュリティは非常に重要なんですが、使うたびにいちいち4桁や6桁のパスコードを入れるのは面倒。ワンアクションで個人が認証できるほうがラクですし、漏れる危険性も少ないため、生体認証が使われるという側面があります。

もちろん生体認証システムには、ほかにも数多くの種類があります。個人特有の情報は指や顔だけではありません。現在、私たちの体のさまざまな部分を使った認証システムが開発されています。

たとえば耳の形状や耳の中の音の反響パターンから個人を特定するという「耳介(じかい)認証」と呼ばれるものや、目の網膜の血管のパターンで個人を区別する「網膜認証」、さらにはその人の持つ固有の匂いで認証する「体臭認証」といったものもあります。

チャンピオンズリーグ決勝で「事件」が

金融機関や入国管理などでも生体認証は一般的に利用されています。しかし、こうしたシステムの中には、特定の条件下で誤作動を起こしてしまうようなものもあるようです。

たとえば、2017年に開催されたヨーロッパチャンピオンズリーグの決勝戦で、スタジアム入場の際に利用された自動顔認証システム。これは日本の某電機メーカーが開発したシステムだそうですが、犯罪者の可能性があるとされた2500人弱の観客のうち、実に9割以上にあたる約2300人が誤って判定されていたとのことでした……。

誤認証の原因としては、判定のために提供された容疑者の顔データの精度が悪かったからともいわれていますが、データ、センサー、アルゴリズムなど、認証に関わる要素は、一つの精度だけが高くても、一つがダメであればうまくいかないということがわかります。

海外メディアが「最悪のアイデア」と評す日本の施策

日本でも、2020年の東京オリンピック・パラリンピックを見すえて、外国人観光客の日本国内での買い物の支払いや本人確認を、指紋認証や網膜認証で行うという取り組みが進められています。これには、オリンピック開催前後に世界中から観光客が押し寄せる中で、スムーズな購買・消費を可能にするという狙いがあります。

しかしこのアイデア、実は海外のメディアからは、情報漏洩やプライバシー侵害などのリスクを指摘する声が上がっており、中でもアメリカのニュースサイト『Co. Exist』では「最悪のアイデア」とまで酷評されています。

万が一のときに「変更できない」デメリット

生体認証システムの一番の利点は、「一生のうちにほぼ変化がない情報」であることです。他人は持っていないその人固有の情報を利用することで、個人の特定を瞬時に行うだけでなく、他人に破られる可能性の少ないセキュリティや、偽装ではごまかせない防犯対策になるのです。

誤認証の事例もあるものの、これから技術がさらに進化するであろう生体認証システムは、簡単には悪用できないものです。しかし、大きなデメリットもあります。それは、万が一、認証で使うデータが外部に漏れてしまったときに、「情報を変更できない」ことです。

意外とローテクに弱い!?

アドレスや住所などの個人情報の漏洩(ろうえい)は、いまも世界中で発生しています。生体情報の大規模な漏洩はまだ確認されていませんが、触れたものに付いてしまう指紋などは、採取がわりと簡単であることから、昔から悪用が危険視されてきました。

個人を特定する情報であるからこそ、狙いを定めたハッキングの対象にはなりやすく、実際にゼラチンや木工用ボンドを使って偽造した指紋で認証をクリアしたケースや、紙に印刷された目の虹彩で認証をクリアしたというケースも報告されています。

泥酔したダンナの指で認証解除

身近な例では、酔っ払って寝ている間に奥さんにスマートフォンの指紋認証でロックを解除された、という一部の人は戦慄するような話もあるようです。酔うと記憶をなくしがちな方は要注意ですね……といっても飲みすぎないくらいしか予防法はありませんが。

これらの「生体認証破り」は高度な情報テクノロジーを駆使しているわけではなく、とても原始的な方法ですが、そもそも生体認証が物理的な「身体」を使ったものである以上、意外とこうしたローテク手法で破られてしまう場合もあるというのは知っておいたほうがいいでしょう。

ちなみに前述のiPhone Xの顔認証は、画面を見ていないと認証されないため、寝ている顔をスキャンされても大丈夫とのことですが、話題になった技術だけに、世界中のガジェット好きが面白半分で「何か破る方法はないか」といろいろと試しているようです。

漏洩への対策は?

生体認証に関する情報漏洩への対策としては、たとえば「体の一部分での認証」と「文字や数字のパスワード」との2段階の認証システムにする、といった方法が考えられています。すでに身近なものとなりつつある生体認証システムは、このようなリスクを下げる方法なども理解した上で利用することが必要になってくるでしょう。

ただ、生体認証に関しては、パスワード管理などと違って、われわれが個人でできる対策は少ないともいえます。やはり「なりすまし」や「誤作動」の危険性が少ない技術とともに、「漏洩しにくい」「漏洩したらすぐわかる」「漏洩してもリカバーできる」という観点でも、さらなる技術開発が待たれるところです。

クロスメディア・パブリッシング