顔写真で画面ロックが解除されるスマートフォンが多数、オランダの消費者団体が検証：38％が顔認証を突破

オランダの消費者団体がテストしたところ、スマートフォン110台のうち42台では、オーナーの顔写真を使うだけで顔認証を破ることができた。

[＠IT]

　スロバキアのセキュリティ企業ESETは2019年1月10日（現地時間）、公式ブログにおいて、スマートフォンの顔認識機能によるデバイス保護の有効性に関するオランダの消費者団体の検証テスト結果を紹介した。

　この消費者団体「Consumertenbond」（英語の名称はConsumers’ League：消費者連盟の意）のレポートによると、スマートフォン110台を使ってテストを実施した。オーナーの“よく撮れたポートレート写真”で顔認証を行ったところ、画面のロックが解除されたものが42台（38％）に達した。テストではスマートフォン自体で撮影した「セルフィー写真」を使った。

　同レポートには、テストの監査方法や写真のパラメーターの詳しい説明はない。だが、結論としては、3D印刷による頭部の像や、顔を模したリアルなマスクといった洗練された方法を取らなくても、多くのスマートフォンの顔認証を破ることができる。

Appleは耐えたが……

　ポートレート写真で画面ロックが解除されたスマートフォンは主に、安価な機種やミッドレンジ機種で、メーカーはさまざまだ。

　だが、ソニーの「Xperia XZ2 Premium（北米版）」「Xperia XZ3」や、Huaweiの「P20 Pro」など、幾つかの高価な機種でも、この素朴な方法で顔認証を破ることができた。

　ASUSやHuawei、Lenovo／Motorola、Nokia、Samsung、ソニー、Xiaomiなどのメーカーは、このテストで少なくとも2台が顔認証を突破されてしまった。

　顔認証を破られなかったスマートフォンの方が台数は多い。その中にはSamsung、Honor、HTC、Huawei、Lenovo／Motorola、OnePlusのフラッグシップ機種や新しいモデルが含まれている。

　意外なことではないが、Appleの「iPhone XR」「iPhone XS」も破られることはなかった。Appleの「Face ID」は顔認証のハッキングに対して耐性の高いことが知られている。

　一方、主にLG製については、一部のスマートフォンで、顔認証を破られた場合とそうでない場合があった。破られずに済んだのは、顔認証が厳しく設定されていた場合だった。

　テストされたデバイスのほとんどはオランダで入手可能なものだったが、一部は米国、英国、ブラジルなど、特定市場向けのモデルだった。またテストでは、同じ機種のシングルSIMモデルとデュアルSIMモデルは別々の2台として扱い、同じ機種でストレージ容量が違うモデルも別々のものとして扱った。これらのことから、テストの台数がいくぶん多くなっている。

　現在、Androidスマートフォンメーカーはユーザーに対して、顔認証が最も安全な生体認証ではないとしばしば警告している。一般的に、指紋や虹彩を利用する方が、安全なバイオメトリック認証方法だと考えられている。