サイバーセキュリティ企業が、特製のマスク(本物の人間の顔を模倣)を使ってFace IDのロック解除に成功したようです。セキュリティ研究者によると、iPhone Xのロック解除には本物の人間の顔しか使わなかったため、iPhoneはマスクから偽のデータを学習できなかったとのことです。
もちろん、これが実際にどれほどのセキュリティ上の欠陥となるかは議論の余地がある。マスクの製作には材料費がわずか150ドルしかかからなかったが、人物の顔の特徴を詳細にスキャンする必要があり、アーティストによる長時間の作業が必要だった…
研究者らによると、模型の大部分は市販の3Dプリンターで作られたが、皮膚や鼻などの他の部分は手作りだという。
出来上がったマスクは、目、鼻、口の部分だけが実際に塗りつぶされており、全く人間らしく見えない。研究者たちは、Face ID がうまくロック解除するには、顔の大部分が被写体を正確に描写する必要はないことを発見した。
Appleは、Face IDシステムにはこのような生体認証攻撃に対する防御機能が組み込まれていると述べていますが、決して完全性を保証するものではありません。ホワイトペーパーからの関連引用は以下のとおりです。
なりすましを検知して阻止するようにトレーニングされた追加のニューラル ネットワークが、写真やマスクを使用して携帯電話のロックを解除しようとする試みを防御します。
この開示の実際的な価値については議論の余地があります。Face IDが写真で騙されるのは別として、正確なマスクで騙されるというのはかなり高いハードルです。
しかし、特定の重要人物を標的とした攻撃が行われる可能性は示唆されています。研究者たちは、Face IDの脆弱性を考慮すると、例えばCEOや大統領などはFace IDを使用すべきではないと提言しています。
一般人にとって、Face ID は安全以上のものだ。誰かがこの品質のマスクを作って無作為に選んだ人の携帯電話に侵入するのは、時間がかかりすぎるからだ。
また、このマスクは、模倣する人物の協力を得て作られたものであることも注目に値するが、これは、例えば CEO への攻撃の場合には当てはまらない。
さらに、Apple はこの研究結果を活用して、将来のソフトウェア アップデートでリリースされる Face ID 用のさらに安全なアルゴリズムを作成することができます。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
