iPhone XのFace ID、200ドルの3Dマスクで認証突破される

 
iPhone Xは2つの大きな衝撃をスマートフォン市場にもたらしました。1つ目は、それまでのiPhoneと大きく異なるベゼルレスの形状です。そして2つ目は、パスコード認証でも指紋認証でもない、顔認証（Face ID）を次世代セキュリティー認証として打ち出したことです。しかし、この2つ目のFace IDについては、3Dマスクで認証が突破できてしまうことから、セキュリティーレベルに疑問を呈する声があります。

200ドルの3Dマスクで突破される

ベトナムのセキュリティー企業Brivが公開した動画では、iPhone XのFace IDが3Dマスクで突破されてしまうまでの様子が事細かに収められています。3Dマスクは石粉粘土、目の部分は2D赤外線画像で作られ、マスクの上に貼り付けられています。
 

 
実は、BrivがマスクでiPhone Xを突破する動画を発表したのは、今回が初めてではありません。2週間ほど前にも同社は、同じくマスク（今回のものがバージョン2だとすれば、バージョン1とでも呼ぶべきもの）でFace IDを「騙す」デモンストレーションを公開し、大きな話題を呼びました。
 
しかし、この時はBrivに懐疑的な見方を示す向きも多く、「最初からFace IDに人間の顔ではなく、マスクを登録していたのではないか（1本目の動画では登録シーンが収められていなかった）」「人物の顔を作るのは難しく費用がかかるため、非現実的だ」などの反響が寄せられました。
 
今回の動画は、まさにこうした指摘に対するBriv側からの“返答”とでも呼ぶべき内容になっています。Face IDにマスクではなく実際の顔を登録している様子がノーカットで映されているほか、マスクを作るのに要する費用が200ドル（約22,000円）であることも明らかにされています。

重要人物だけでなく一般人も注意を

Appleは「無作為に選ばれた第三者が、Face IDのロックを誤って突破できてしまう確率は100万分の1だ」とし、それまでのTouch IDの5万分の1よりも、大幅に認証精度が上昇したことをアピールしてきました。
 
もちろん、言葉だけでなく実際に認証精度が上昇しているからこそ、Face IDをApple Payなどの取引にも用いることができる、セキュリティーの高さが担保された認証機能として、一挙に導入することができたのでしょう。
 

 
しかし、Brivは今回の動画で「2週間前に、国や企業のトップ、億万長者といったような重要人物はFace IDを使う際に気をつけるべきだ」と述べたことに改めて触れたうえで、今回はさらに「（彼ら重要人物のみならず）一般的なユーザーにとっても危険だと判断した」と述べています。つまり、Face IDを金銭が絡む取引の認証機能として用いるにはセキュリティー面で危険性がある、というわけです。
 
確かに生体認証の過大評価については、指紋認証の頃から度々指摘されてきており、一部の専門家は「複数の認証を組み合わせることが重要だ」と推奨しています。知らぬまに顔写真を撮影されマスクを作られ、iPhone Xを奪われて勝手に送金されるという可能性は低そうですが、1つのセキュリティー認証に大きく依拠することは止めたほうがいい、ということでしょう。
 

 
 
Source：AppleInsider
(kihachi)