中華IT最新事情

中国を中心にしたアジアのテック最新事情

iPhoneの顔認証を頭部モデルで突破。アリペイでの決済に成功したという動画が話題に

南斗星仿真ロボットの王峻CEOが、iPhoneの顔認証を、3Dプリンターで作成した自分の頭部モデルを使って突破し、実際にアリペイを使って列車のチケットを購入する動画を公開した。ネットでは顔認証の安全性を不安視する声が広がり、アリペイ運営が公式にコメントする事態になっていると移動支付網が報じた。

 

頭部モデルを使って顔認証を突破したのはロボット企業の創業者

顔認証を突破したと主張し、証拠の動画を公開したのは、南斗星仿真ロボットの創業者である王峻(ワン・ジュン)CEO。名前も知られている人だけに、信憑性も高く、ネット民の間では「顔認証のセキュリティは大丈夫なのか?」と議論になっている。

王峻氏は、自分の顔を3Dスキャンし、高精度3Dプリンターで顔のモデルを作成。さらに伝統工芸の技術を使って、義眼を埋め込んだ。さらに、皮膚素材を貼り、髪や眉、ヒゲなどを植え込んでいくという相当の手間をかけて、自分そっくりとの頭部モデルを作成した。

f:id:tamakino:20191023120556j:plain

▲頭部モデルを使って、AppleのFace IDを突破したと主張する南極熊こと王峻氏。南斗星仿真ロボットの創業者という知名度のある人の動画であったため、ネットでは大きな話題になっている。

 

ネットに顔認証の安全性を不安視する声が広がる

この頭部モデルを自分のiPhoneのFace IDに登録をし、次にアリペイで南京から宝華までの9.5元のチケットを買う。パスコードか顔認証が必要になるので、頭部モデルを見せて、うまく買うことができたという内容だ。

手が込んでいるとは言え、制作した頭部モデルで顔認証決済ができてしまったというところから、ネットでは大きな話題になっている。中には、SNSで公開した写真を集めれば、そこから3Dデータを解析し、他人の頭部モデルを作成して、その人のアリペイで買い物ができてしまうのではないかと心配する人もいた。スーパーやコンビニには、アリペイの顔認証ユニットが導入され始めている。その安全性を疑う人もいる。

f:id:tamakino:20191023120602j:plain

3Dプリンターで頭部モデルを作り、そこに着色、植毛、義眼を入れるという手間をかけている。

 

f:id:tamakino:20191023120559j:plain

▲頭部モデルを使って、アリペイにより9.5元の列車のチケットを実際に購入するところを動画で公開した。

 

アリペイがコメント。悪用することは現実的ではない

この問題に対して、運営元のアリペイは正式にコメントをした。王峻氏が公開した動画では、アリペイで列車のチケットを購入しているが、突破をされたのはAppleのFace IDであって、アリペイは無関係だ。Face IDは、パスワードを入力する代わりに使われているだけにすぎない。

しかし、この動画がきっかけとなって、コンビニ、スーパーなどに設置されているアリババの顔認証ユニットについても安全性を不安視する声が大きくなったため、コメントをしたのだと思われる。

要点は3つだ。ひとつは、この動画がほんとうに正しいのか、現在解析をしている最中だというもの。もうひとつは、この動画の内容が正しいとしても、アリペイの顔認証決済を有効にするには、まずアリペイにパスコードを設定することが条件になる。そして、アリペイがインストールされているスマートフォンで、一度は通常のQRコード決済やオンライン決済をしないと、顔認証決済は使えるようにならない。最後に、顔認証決済の精度は99.99%であり、非常に小さな確率で事故が起きる可能性は否定できないが、その場合は、アリペイが全額を補償するというもの。

他人の顔データを入手して、頭部モデルを作成すること自体が普通の人には難しいことだし、頭部モデルができたとしても、実際に顔認証決済に悪用することは難しい。コンビニなどの顔認証決済ユニットで悪用をするには、頭部モデルを持ち込まなければならない。顔認証決済レジには、スタッフがいるし、監視カメラも配備されている。

王峻CEOのように、スマホのアリペイからオンライン決済をするには、本人のスマホを手に入れるか、新しいスマホに本人のアカウントでアリペイをセットアップする必要がある。いずれの場合も、アリペイのパスコードがわからなければ、やりようがない。

 

王峻CEOの動画に対する疑問の声も

王峻CEOの動画にも疑問が提出されている。それは別の動画で、頭部モデルでアップルの顔認証Face IDが突破できたという内容を公開しているが、この動画では、自分の顔ではなく、頭部モデルをFace IDに登録をしている。そして、自分の顔でもロック解除ができていることを示しているが、何か不自然だ。顔認証を突破したというのであれば、まず自分の顔をFace IDに登録をして、頭部モデルでロック解除ができることを示すのが自然だ。なぜ、このような手順なのか。

アリペイが「現在動画の内容を解析中」と言っているのは、このあたりの検証をしているのではないかと思われる。

▲王峻氏が公開した顔認証を突破する動画。しかし、頭部モデルをFace IDに登録をし、自分の顔でロック解除をしている。

 

映画の登場人物の顔を自分の顔に置き換えるアプリ「ZAO」

中国ではZAOというアプリが大きな話題にもなった。これは映画やテレビドラマに登場する俳優の顔を自分の顔に簡単に置き換えることができるというアプリだ。単にオーバーレイするだけでなく、角度や表情の動きまでも合わせてくれることから大きな話題になった。

より大きな話題になったのが、自分の顔データの扱いだ。ZAOの約款では「運営元に帰属し、運営元が第三者に譲渡、再ライセンス可能」となっていたことだ。多くのユーザーから、自分の顔データが売られてしまう、悪い人間の手に渡ったら、顔認証決済をされてしまうという非難の声が上がった。

運営元では、プライバシーに配慮して、ポリシーを改定することを宣言したが、中国ではなにかと「顔のプライバシー」に敏感になっているようだ。それだけ、顔認証、顔認証決済が身近になっていることを実感しているからだ。

▲映画などの登場人物の顔を、簡単に自分の顔に置き換えができるZAO。大きな話題となり、多くのウェブメディアが取り上げている。

 

(PM2.5対応)快適ガードさわやかマスク レギュラーサイズ 60枚入

(PM2.5対応)快適ガードさわやかマスク レギュラーサイズ 60枚入