- 生体認証スプーフィングとは、顔・指紋・虹彩などの生体情報を写真・3Dマスク・ディープフェイク動画・偽造指紋などで再現し、本人になりすまして生体認証を突破する攻撃のことだ。
- SNSの顔写真や付着した指紋から生体情報を入手できるため、精巧な偽造物やAI生成の偽動画で顔認証を突破され、銀行口座開設やスマホロック解除などの本人確認をすり抜けられてしまう。
- 仕組みを知っておけば、生体認証だけに頼らずパスコードや多要素認証を併用するという対策が打て、なりすまし突破のリスクを下げられる。
【深掘り】これだけは知っておけ
生体認証スプーフィング(Biometric Spoofing)は、本人の生体情報を偽造・再現して認証システムをだます攻撃です。生体認証は本人固有の身体的特徴を使うため安全とされますが、その特徴は完全に秘密ではありません。顔はSNSの写真から、指紋はグラスなどの付着物から入手可能です。攻撃手法には、実物大の写真やタブレット表示の画像で顔認証を突破する「ディスプレイ攻撃」、本人の動画を再生する「リプレイ攻撃」、スキャンモデルから作る「3Dマスク」(製造に数千ドルかかることも)、デバイスのカメラをハックして被害者の顔を別の顔にオーバーレイする「ディープフェイク」などがあります。
近年特に懸念されているのが、ディープフェイク動画による顔認証突破です。日本でも、ディープフェイクを悪用して他人になりすまし、顔認証や免許証による本人確認を突破して銀行口座やクレジットカードを不正契約する懸念が高まっています。日立製作所の研究グループは、AI偽動画でオンライン本人認証を突破できる恐れがあることを人工知能学会で発表しました。一方、防御技術も進化しています。「ライブネス検出」は、目の前にいるのが生身の本人か偽造物かを判定する技術で、自然な視線・瞬き・立体性などを検証します。iPhoneのFace IDの画面注視認識機能のように、本人の意思がないとロック解除されない仕組みも導入されています。それでも、生体認証だけでは万全ではないというのが専門家の共通認識です。
個人ができる対策として、スマホの生体認証は便利に使いつつ、重要な操作には追加の認証(パスコード・パスキーなど)を設定すること。SNSに高解像度の顔写真や指紋が写る画像を不用意に公開しないこと。本人確認が必要なサービスでは、ライブネス検出など偽造対策が施されたものを選ぶこと。生体認証で不審なロック解除やログインがあれば速やかに確認すること。生体認証は「本人しか持ち得ない特徴」を使う優れた技術ですが、その特徴は完全な秘密ではなく、偽造の可能性が常にあります。一つの認証手段に依存せず、複数の防御を重ねることが、なりすまし突破への最も確実な備えです。
生体認証スプーフィングの主な手法
| 手法 | 仕組み | 対策 |
|---|---|---|
| 写真・ディスプレイ攻撃 | 写真やタブレット画像で顔認証突破 | ライブネス検出の導入 |
| 3Dマスク・偽造指紋 | 精巧な偽造物で認証突破 | 静脈認証など偽造困難な方式 |
| ディープフェイク | AI生成の偽動画で本人になりすまし | 多要素認証の併用 |
典型的なフレーズ・文脈
(攻撃準備中)ターゲットのSNSから顔写真を大量収集してディープフェイク動画を生成。オンライン口座開設の顔認証本人確認に、この偽動画を流し込めば、本人に成り済まして口座を作れる。免許証画像も偽造済みだ。
SNSの顔写真からディープフェイク動画を作り、オンライン本人確認の顔認証を突破して不正に口座開設する、生体認証スプーフィングの典型的な手口です。
研究グループは、AIによる偽動画を使えばオンラインの顔認証を突破して本人に成り済ませる恐れがあると発表しました。専門家は、生体認証だけに頼らず多要素認証を併用するよう呼びかけています。
ディープフェイクによる顔認証突破の研究発表を報じる報道番組のキャスターを想定した表現です。
生体認証は便利ですが万能ではありません。写真や偽動画で突破される恐れがあるので、重要な操作にはパスコードや多要素認証を併用してください。顔写真の不用意な公開にも注意を。被害は#9110へ。
セキュリティ専門家が、生体認証スプーフィングへの対策として多要素認証の併用を助言する場面を想定しています。
困ったときの相談窓口
生体認証スプーフィングによるなりすまし被害が疑われる場合は、以下の窓口に相談できます。
| 窓口名 | 電話番号 | 受付時間 | 対応内容 |
|---|---|---|---|
| 警察相談専用電話 | #9110 | 平日 8:30〜17:15(各都道府県で異なる) | なりすまし・不正契約の相談 |
| IPA安心相談窓口 | 03-5978-7509 | 平日 10:00〜12:00、13:30〜17:00 | サイバー犯罪・AI悪用の相談 |
| 消費者ホットライン | 188 | 地域の窓口に準ずる | 不正契約・本人確認トラブルの相談 |
【まとめ】3つのポイント
- 正体は生体情報を偽造する突破攻撃:写真・3Dマスク・ディープフェイクで本人になりすまし、認証をすり抜けます。
- 生体情報は変更できない:パスワードと違い、顔や指紋は一度偽造されても変えられないのが弱点です。
- 生体認証だけに頼らない:パスコードや多要素認証を併用し、ライブネス検出のある仕組みを選びましょう。
よくある質問
-
Qスマホの顔認証は写真で突破されますか?
-
A
最近の高性能なスマホでは、写真や画面表示の顔だけで突破されることはほぼなくなりました。iPhoneのFace IDなどは赤外線で立体的に顔を捉え、ライブネス検出(生身の人間かを判定)や画面注視認識(目を開けて見ているか)を備えているためです。ただし、古い機種や安価な機種の中には写真で突破できるものもあります。また、3Dマスクや精巧なディープフェイクといった高度な攻撃にはリスクが残るため、重要な操作にはパスコードの併用が安心です。
-
Qライブネス検出とは何ですか?
-
A
ライブネス検出(生体検知)は、認証時に目の前にいるのが「生身の本人」か「写真・動画・マスクなどの偽造物」かを判定する技術です。自然な瞬きや視線の動き、顔の立体性、肌の質感、わずかな動きなどを分析して、偽造物を見破ります。オンライン本人確認や顔認証決済など、なりすましリスクの高い場面で重要な役割を果たします。本人確認が必要なサービスを使うときは、こうした偽造対策が施されているかを確認するとよいでしょう。
-
Q生体情報が偽造されたらどうすればいいですか?
-
A
生体情報は変更できないため、パスワードのように「変えて対処」ができないのが厄介な点です。被害が疑われたら、まず生体認証を使っているサービスのパスワードや認証方式を変更し、可能なら生体認証を一時的に無効化してパスコードや多要素認証に切り替えてください。不正な口座開設やログインがないか確認し、あれば金融機関やサービス提供者、警察に速やかに相談します。今後は、生体認証だけに依存せず、複数の認証手段を組み合わせることが重要です。
-
Q生体認証スプーフィングとディープフェイク音声の違いは何ですか?
-
A
偽造する対象が異なります。生体認証スプーフィングは、顔・指紋・虹彩などの生体情報を偽造して認証システムを突破する攻撃です。ディープフェイク音声は、本人の声を模倣して電話で家族や上司になりすます詐欺です。どちらもAIによる偽造技術が悪用される点は共通しますが、前者は認証システムの突破、後者は人間をだます詐欺という違いがあります。ディープフェイク技術が顔認証突破(生体認証スプーフィング)に使われる場合は、両者が重なります。
この用語と一緒に知っておきたい用語
| 用語 | この記事との関連 |
|---|---|
| ビジネスメール詐欺 | ビジネスメール詐欺(BEC)とは、取引先や自社のCEOになりすました偽メールで、振込先口座の変更を指示するなどして企業の担当者に犯人の口座へ送金させる詐欺のことだ。 |
| ブリッジハック | ブリッジハックとは、異なるブロックチェーン同士をつなぐ「クロスチェーンブリッジ」を狙った攻撃で、ブリッジに預けられた巨額の暗号資産が一度に流出する事件のことだ。 |
| AIチャットボット詐欺 | AIチャットボット詐欺とは、人間らしく自然に会話する生成AIを悪用し、カスタマーサポートや投資アドバイザーを装って個人情報や金銭をだまし取る詐欺のことだ。 |
| クリックジャッキング | クリックジャッキングとは、Webページ上に透明なボタンやリンクを重ねて、ユーザーが意図しない操作(送金・フォロー・設定変更など)を実行するよう誘導するサイバー攻撃のことだ。 |
この手口が実際に使われた事件
| 事件 | この記事との関連 |
|---|---|
| ホテル従業員のカード不正利用 | ホテルのインサイダー詐欺とは、 コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する 内部犯行である |
| ケビン・ミトニック | ケビン・ミトニックは ソーシャルエンジニアリング (人間の心理を利用した情報窃取)を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである |
| オレオレ詐欺のリーダー格 | オレオレ詐欺の組織は 主犯格を頂点としたピラミッド構造 で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い |
コメント