当ブログ記事「【警告】iPhoneのパスコードに注意、Apple IDを乗っ取りで被害甚大に!」ではiPhoneのパスコードとそのiPhoneを盗まれると全てが失われるという警告をしました。パスコードとiPhoneをセットで盗まれるのは論外としても、日常のセキュリティの鍵である顔認証って本当に安全なのか?という疑問がありませんか?
iPhoneの顔認証
iPhoneのFace IDは30,000以上の赤外線ドットを顔にあててそれを赤外線カメラが読み取り、顔の凹凸を取得して3Dの顔のモデルを内部につくり、それを認証のときに同じように作った3Dモデルと照合します。さらにiPhoneを直視しないと認識できないような設定もあります。
Face IDはiPhone 8時代から使っておりますが、一般的な指紋認証より圧倒的に認識率が高いと思います。特にiPhone 12以降ではマスクをしていても認識してくれますので、メガネ(サングラスを除く)の有無やマスクの有無に関わりなく認識してくれます。指紋認証だと風呂上がりや手を洗った直後の指だと認識しない、冬場で乾燥している季節だと認識しにくいとかあって結構厄介ですが、Face IDではそういうことはありません。
とはいえ世の中に完全なものが存在しないのは間違いないので、iPhoneのFace IDであるが3Dプリンタでマスクを作ってそれで認証させた実験もあるようです。
これは実験であり、Face IDは人体の体温やまばたきにより生体であることを感知しないというのも一因ではあると思いますが、何事にも完璧はないのでリスクが高いか低いかで判断すべきです。また実験だからできるのであり、現実においてはこんなことはそう簡単にはできません。iPhoneを盗まねばなりませんし、所有者の顔を3Dスキャンして3Dプリンターで造形しなくてはなりません。それこそ「Mission Impossible」の世界になってしまいます。軍事機密を入れたiPhoneであればその価値はあるでしょうが、庶民のiPhoneではペイしないと思います。
またFace IDといえども一卵性双生児の場合は通ってしまうという話もありますので過度の信頼は禁物です。一卵性双生児であっても指紋は異なるそうなので、その場合違いのセキュリティを気にするのであれば指紋認証のほうがいいかもしれません。
Androidの顔認証
Androidスマートフォンのほとんどの顔認証は「なんちゃって顔認証」であり、2次元データで顔写真とカメラで認識した顔の像を比較するだけなので圧倒的に突破されやすくなります。
AndroidでiPhoneのような3D顔認証システムを搭載したものはあるのでしょうか?
Google Pixel 7 Proは画面ロック解除のみ3D顔認証でロック解除が可能です。アプリでの生体認証は指紋認証のみ対応しています。iPhoneのFace IDとは異なりマスク顔は認識しませんし、化粧の状態では認識できないこともあるそうですので、レベル的にはiPhoneのFace IDには及ばないところ。
筆者が以前使っていたHAWEI Mate 20 Proは3D顔認証対応でした。しかし、現在はGoogleのサービスが使用できず地政学的にも不安である製品となり現在の新しい端末は公式に日本では販売されていません。
Androidは3D顔認証に関しては当面Appleの敵ではなさそうですので、認識率が高い指紋認証搭載機種を選んだほうがいいです。ある程度自分の条件にあう端末複数機種を選び出して、ネットで指紋認証についての評判を調べるしかありません。
どんなに優れた指紋認証でも、冬場になって手先が荒れると認識しなくなるとか、風呂上がりや手を洗った直後はダメという欠点は飲むしかありません。季節による認識精度は適宜登録し直す、5つまで登録できるので複数の指を登録する(左右に分けると効果的)とか同じ指を複数登録するなどすればよいでしょう。
そういう意味で、Face ID搭載iPhoneよりはAndroidのほうが画面ロック解除パスコードを入力しなければならないことが増えますので注意が必要です。
まとめ
iPhoneのFace IDは精度が高くマスク顔でも認識するのでかなり信用できると言って良いが、一卵性双生児の区別はつかないとか、3Dスキャンして作った人の顔だと認識してしまうといったこともあるので過信は禁物。
AndroidではFace ID並の高精度なものは現時点では存在しないので指紋認証を使う。指紋認証は季節や皮膚の状態によって認識率が下がるので季節ごとに再登録する、複数の指を登録する、よく使う指は2つ登録するなどの工夫し、できるだけパスコード入力を求められる機会を減らすこと。