英国の消費者団体「Which?」が48機種をテストしたところ、19機種で持ち主の写真、それも普通紙に印刷した低解像度の写真でロックを解除できた。
写真でロック解除できた機種は、モトローラの「Moto E13」などの低価格モデルが大半だが、モトローラの「Razr 2022」などの高級機種も含まれていた。メーカー別の内訳はシャオミが7機種、モトローラが4機種、ノキア、オッポ、サムスンが各2機種、オナーとビボが各1機種。
同団体はアップルのiPhoneもテストしたが、結果はすべて合格だった。iPhoneには、センサーを使ってユーザーの顔の3D深度マップを作成する「Face ID」機能が搭載されている。
同団体のテクノロジー担当エディター、リサ・バーバーは「2Dの写真で簡単にだまされるスマホを販売すること、特にこの脆弱(ぜいじゃく)性を顧客に知らせていないことは許されない」と批判。「調査結果により、人々のセキュリティと詐欺被害の危険性に関する懸念が示された」 と指摘する。
この欠陥は、重要な個人情報の取得に悪用される恐れがある。例えば、悪意を持った人物が「Google ウォレット」アプリにアクセスすれば、登録された銀行口座の資金を使った非接触決済が可能となる。同アプリには、ユーザーが使っている銀行、カード番号の下4桁、最近の決済に関する情報など、セキュリティの質問に答えるのに役立つかもしれない情報も含まれている。
スマホの生体認証のセキュリティについての規則はないが、欧州電気通信標準化機構が策定した自主基準では、2D顔認証の失敗の割合として5万回に1回以下を求めており、今回のテストで不合格となったスマホはこの基準に達していないとみられる。
ビボは、顔認識では持ち主に似ている人や物によってスマホのロックが解除される可能性がある事実を顧客に警告していると説明。一方、ノキアとサムスンは、写真でロック解除できたモデルには指紋認証など他のセキュリティオプションが搭載されていると指摘している。
同団体はスマホメーカーに対し、この種の「なりすまし」に対する生体認証システムのセキュリティを改善し、そうしたリスクをユーザーにはっきり示すよう求めている。
「欠陥が明らかになったこれらのスマホを使っている人には、顔認証の使用をやめ、代わりに指紋センサーや強力なパスワード、長い暗証番号を使うよう強く勧める」とバーバーは述べている。「これはメーカーへの警鐘となるべきだ。メーカー各社は、なりすましに対する生体認証システムの安全性を向上させる必要がある」
(forbes.com 原文)