パスワード認証の弱点をカバーし、多要素認証の要として利用が拡大している生体認証。
他人受入率(※1)や本人拒否率(※2)などの理由で、認証の確実性が100%ではないことは皆さんもご存知だと思いますが、「偽造が難しい」「持ち歩きや文字入力が不要」という特長が、生体認証の導入を推し進めている要因です。

※1:ほかの人の生体情報で認証してしまう率
※2:本人が認証しようとしているのに、認証されない率

しかしこの生体認証も、全てが同じシステム・精度ではないのです。提供元によって、非常に安全度の高いものから、いい加減なものまで、様々なものが出回っている、という事実が・・・。

中国のIT企業「百度」のセキュリティ部門にある安全実験室担当者によると、たとえば「顔認証」の場合、iPhone Xで採用された「face ID」は、顔面上から3万点ものポイントの距離を測定するのに加え、赤外線を利用して、顔を立体的に認識する高度な測定技術を使ったものとなります。一方で「顔の特徴点を68個測定するだけで認証しており、写真でも認証を突破できてしまう」なんてレベルの「顔認証」も多く出回っているのが現状だそうです。

実際、中国の自動車学校(教習所)では、生徒にICカードを配布し、講義や講習の終了時に、専用リーダーに指を置いて指紋認証をし、カードをかざして受講記録がされる仕組みになっていますが、ECサイトなどで販売されている「自動車学校用導電性シリコンキット」を使って、自分の指紋をこのシリコンに転写して指紋シリコンを作り、ICカードと一緒に友人に渡して代返をしてもらうことが流行している、とかなんとか・・・。

中国のECサイトで見つけた「自動車学校用導電性シリコンキット」

過去には「iPhoneのTouch IDもダミーの指紋で突破できた」という記事がいくつもありました。いいかげんな指紋認証は、すぐに突破されるということです。
また、中国の自動車学校の例は、自分の指紋を自分でコピーしているだけで、他人の指紋を盗んでいるわけではありません。しかし「他人の指紋を盗む」ことも、ある程度の技術と機会があれば不可能ではありません(ニュースやドラマなどで警察の鑑識が、粉を付けて指紋を採取しているシーンは皆さんご存知かと)。

では「虹彩認証」「静脈認証」などの、偽造が非常に困難といわれる認証技術についてはどうでしょう。
前出の、百度の安全実験担当者によると、これも「顔認証」と同様、中にはレベルの低い技術もあり、認証を簡単に不正突破できる可能性があるということでした。

一番の問題は、こういういい加減なレベルの生体認証システムを提供あるいは使用している企業が存在し、そのような信用できない会社のシステムを使うことで、認証用の生体情報が流出してしまう可能性があることです。

安価でいい加減な生体認証システムを提供・使用しているようなところは、生体認証データベースのセキュリティや管理も安易に考えていたりして、データを流出させてしまう可能性が十分に考えられるのは、とても恐ろしいことです・・・。
なぜなら、パスワードと違って生体情報は容易に変更ができません。絶対に守らなければいけないものです。
そのためには、くれぐれも怪しげなサイトやサービスなどでの生体認証システムを利用しないよう、ユーザー自身が気をつけるしかありません。少なくとも、国や大企業で導入されている生体認証にはそんなことはないと信じたいところです・・・。