Androidスマートフォンの顔認証、写真でも突破できる!?

この記事をシェア

3Dプリンターで作った顔や本物そっくりのマスクがなくても、高性能モデルのスマートフォンですらスクリーンロックが解除されてしまうという。オランダの非営利団体の調査で明らかになった事実を報告していく。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

Androidスマートフォンの顔認証、写真でも突破できる!?

オランダの消費者保護機関である『Consumertenbond(消費者連盟)』が110台のスマートフォンを対象に、顔認証のセキュリティレベルの調査をおこなったところ、結果は芳しくないものとなった。ユーザーの「良く撮れている顔写真」だけでこの認証を突破できたスマートフォンは、なんと42台にも達することとなった。この団体がまとめた報告書では、監査方法や写真のパラメーターについて詳しく説明されていない。しかし、結論として3Dプリンターで作った顔や本物そっくりのマスクを用意するといった高度な方法でなくても、多くのスマートフォンの認証を突破することができたようだ。

テストで不合格になったスマートフォンのほとんどは、各種メーカーが販売している安価もしくは一般的な価格帯の機種であった。しかし、中には高価な機種であってもスクリーンロックが解除されてしまうものもあった (ソニー社のXperia XZ2 PremiumとXperia XZ3、およびファーウェイ社のP20 Proなど) 。

エイスース社、ファーウェイ社、レノボ社/モトローラ社、ノキア社、サムスン社、ソニー社、シャオミ社といったブランド企業は、少なくとも2種類以上の端末がテストで不合格となった。全リストを表示するには、このリンクをクリックすること(オランダ語で表示されるが、Google Chromeなどで機械翻訳することができる)。

そうは言っても、主力モデルや最新のモデルのデバイスでは、そのほとんどで認証は突破されることなく終わった。突破されなかったものに該当するのは、主にサムスン社、オーナー社、HTC社、ファーウェイ社、レノボ社/モトローラ社、ワンプラス社のフラッグシップ製品や最新モデルが挙げられる。

驚くべきことではないが、iPhone XRとiPhone XSはテストを無事に合格している。アップル社のFace IDは、顔認証を悪用したハッキングに対して十分な対策を講じていることで有名である(完璧とはいい切れないところではあるが)。

自分のスマートフォンもロック解除されるのか?

ここまで挙げた端末以外でも、普通に撮影された写真で簡単に顔認証が破られるものもあった(そのほとんどがLG社製である)。そのため、これらのスマートフォンは顔認証機能のレベルを厳格にするよう対応を求められることとなった。

今回テストした端末のほとんどは、オランダで利用されているものであり、米国、英国、ブラジルといった他の市場のものも一部対象範囲とした。シングルSIMとデュアルSIMモデルは別物として扱い、同じモデルでもストレージ容量が異なるものは別物として扱ったことにより、テストしたスマートフォンの台数が増えている点には留意したい。

現在、Androidスマートフォンのメーカーは、顔認証機能は現時点で最も安全な生体認証というわけではないという警告をスマートフォンユーザーにおこなっている。一般的には虹彩認証や指紋認証といった別の認証方法のほうがより信頼できると考えられている。よほど執拗な攻撃者でない限り、これら認証を突破しようという気は失せてしまうほどだ。万全を期すならば両方の認証を利用することで、肩越しにスクリーンをのぞき込むような簡単な手口からも回避できるだろう。

しかし、従来からのPINコード(6桁以上)を利用した方法もまだ比較的安全ではある。ただし、利用の際はPINコード入力時に攻撃を企みそうな人が周囲にいないかという確認が必要だ。PINコードは、生体認証をのぞくと、一般的でユーザーの利用傾向も高い「パターン認識でのスクリーンロック」よりも安全であることは実証されている。参考までに、数年前までは指でなぞるこのロック解除を利用していた米国のAndroidユーザーは40%に達していたことを記しておく。

この記事をシェア

スマートフォンのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!