2019/04/01

顔認証決済に隠された安全リスク

Photo by Ludvig Wiese
インターネットとスマホの普及により、微信(WeChat Pay)や支付宝(アリペイ)のような決済方法が生まれ、外出中の消費者はキャッシュやカードを持たなくても便利に決済できるようになった。顔認証技術が最も広く使用されている顔認証決済は、全国各地で次第に実用化されている。

その他のインターネットサービスと同様、顔認証決済は誕生したばかりの頃から安全性が疑問視されてきた。サイバーセキュリティ専門家、ネット上で顔認証を唯一の認証方法にすることを極力回避するよう呼びかけている。人の生物的特性として、データには単独性がある。データをコンピュータに入力すると、これを盗まれ、再編成・再生される可能性があり、大きな安全リスクが存在する。

厦門遊仁情報科技有限公司の責任者である呉迪煒氏は長年にわたり画像などの識別の研究を行っている。呉氏は、現在の技術だと、顔認証決済には大きな安全リスクがあると指摘した。

「顔認証には現在、2つの大きな問題がある。まずミスの確率が高いことで、ユーザーの使用体験を損ねる。アップルは早くから顔認証サービスを提供しているが、一定のミスが生じる。次にデータを採取されネット上にアップされれば、暗号解読や窃盗のリスクが生まれる。ハッカーは当該ユーザーの預金規模など、データの価値に基づき盗むべき対象であるかを判断する」

専門家が顔認証決済を疑問視するのは、顔データの唯一性が理由だ。顔をネット上で使用する場合、1枚の写真や画像に過ぎないと思われるかもしれないが、実際には異なる。誰もが一つだけの顔、2つの虹彩、10の指紋を持つ。顔、指紋、虹彩、筆跡、声、歩き方などはバイオメトリクスの認識項目であり、すべての人にとって唯一性を持っている。

談氏は「どのようなデータであってもコンピュータに入力されるとコード化されてしまう。生物的特性も例外ではない。これらのデータが復元され、ハッカーなどの犯罪者の手に渡れば、人々は唯一の身元証明データを失うことになる。しかもこれは永遠に交換できず、再生もできないため、リスクが大きい」と説明した。

利便性を高める新技術の発展に対して、消費者は自らの財産とプライバシーを守るにはどうするべきだろうか。呉氏は「インターネット時代では、すべての人が透明になる。例えばネットに接続すればその動きを識別されることになる。これは回避できない時代の流れだ。消費者が自らの情報安全を守るためには、プライバシー安全の意識を高める必要がある」と指摘した。

例えば巨額の決済であれば銀行が配布する動的暗号生成装置やUSBキーなどを使用する。公共エリアでは無闇にWi-Fi(特にパスワード不要の)を使用しない。接続したとしても振込や決済などの操作を行わない。金融情報がハッカーから盗まれることを防止する。ショートメールにリンク先が含まれても軽率にタップしない。トロイの木馬に感染しやすく、スマホがハッカーからコントロールされる可能性がある。QRコード、特に出処が不明なQRコードを無闇にスキャンしない。ウイルスやトロイの木馬が含まれる可能性があり、資金を直接盗まれる可能性もある。スマホでアプリをダウンロードする際には、その権限の設定をチェックし、必要な権限のみを開放する。

多くの企業が、集めた写真と顔の生物的特性データの減感処理を施すと称しているが、呉氏はその効果は低いと指摘した。プライバシー保護は企業の自制だけでなく、政府が業界に統一基準を設定するよう促し、プライバシー保護の壁を築く必要がある。

呉氏は「インターネットの時代において、利便性と安全性を兼ね備えることは難しい。絶対に安全な技術は存在せず、技術は補助的手段に過ぎない。ユーザーは安全意識を高め、業界は自制的になり、関係機関も監督管理を強化しなければならない。こうすることで個人の資産とプライバシーの安全をより良く守ることができる」と述べた。


情報源:科技日報

0 件のコメント:

コメントを投稿