銀行の顔認識システムがハッキングされた。脆弱性はどこにあるのか？

以前、「銀行の顔認証システムがハッキングされた」というニュースが、そのセキュリティに対する国民の懸念を引き起こした。技術的な脆弱性や課題にどう対処するか?専門家による通訳>>

執筆：王慧神（インターン） 編集：丁林

ニューメディア編集者/呂冰鑫

「詐欺師が『偽顔』を使って女性から数十万元を騙し取った」「滴滴出行がユーザーの個人情報（顔認識情報1億700万件を含む）を違法に収集したとして80億2600万元の罰金を科せられた」…最近、顔認識に関する話題が頻繁に話題になっている。顔スキャンがますます普及するにつれて、これらの事例は私たちに次のような考えを抱かせます。顔認識は追加の保護を提供するのか、それとも不必要なセキュリティリスクを生み出すのか?

この問題を受けて、北京科技日報は重慶郵電大学の高新波教授に独占インタビューを行った。高新波氏は、関連分野の専門学者として、顔認識技術のこれまでの発展の歴史、現在のクラッキングや課題への対処方法、そして今後の発展の見通しについて詳細に紹介した。

銀行の顔認識システムの抜け穴を塞ぐにはどうすればいいでしょうか?

北京科技日報：「偽の顔で銀行カードをスワイプする」という最近のニュースは、顔認識システムの抜け穴に皆の注目を集めています。この問題は技術的な観点からどのように解釈できると思いますか?

Gao Xinbo：現在使用されている顔認識システム用の画像収集方法は 2 つあります。 1つは、2次元画像をシステムにアップロードし、システムが特徴空間でシステムに登録されている顔画像と比較して画像を識別する方法です。この解決策は比較的単純ですが、抜け穴があります。つまり、適格な 2 次元の顔画像を使用すれば、誰でも正常に認証されてしまうのです。例えば、2019年には数人の小学生が印刷した写真を使って、鳳潮エクスプレスロッカーの顔スキャン受取機能を「クラック」した。

そのため、銀行などの金融機関は、顔画像を収集すると同時に生体認証も行うことで、認証者が実在の人物であることを確認し、他人が悪意を持って写真を盗むことを防ぐという第2の顔収集ソリューションを使用します。具体的には、顔情報の収集中に、ユーザーは指示に従ってまばたきをしたり、口を開けたり、その他の動作を行う必要があります。

しかし、生体検査における大きな欠陥は、システムが顔と生体が同一人物のものであると想定していることです。李思が張三のマスクを着用し、顔認識システムが張三の顔を検出し、李思が生体検知に必要なアクションを完了した場合、システムは「自分」が張三ではなく李思であると認識できません。スタンフォード大学の研究者らが、ソフトウェアを通じて顔の表情を移植できる「顔を変える」技術を発明したという報道が以前あった。最近のニュースでは、犯罪者が同様の「ハイテク」を使って顔認識システムを攻撃し、銀行カードを盗んだと報じられている。

北京科技日報：このような抜け穴にどう対処すべきでしょうか？

高欣波：「可視光＋赤外線」デュアルモードカメラ認識方式を採用しています。つまり、可視光を使用して人物の外観を検出し、熱赤外線を使用して顔の熱分布を検出します。光学ポートレートと熱赤外線温度分布マップが個人と一致した場合にのみ、本人確認が行われます。こうすることで、たとえ誰かがソフトウェアを使って顔を変えたり、マスクをかぶったり、似たような外見をしたりしても、あなたになりすますことはできません。

さらに、デュアルモードまたはマルチモードの検証方法を採用することもできます。顔認証に加えて、虹彩、指紋、指静脈、掌紋、声紋など、さまざまな角度からの認証方法を追加することもできます。これにより、少なくとも単一の認証技術の抜け穴を補うことができます。

顔認識技術は技術の進歩とともに発展し続けている

北京科技日報：顔認識技術は開発中にどのような課題に直面しましたか？現在、関連技術はどの段階に達していますか?

**Gao Xinbo: **顔認識は近年比較的急速に発展しました。顔認識（画像認識技術に基づく）の最も初期の成功例は、マサチューセッツ工科大学のメディアラボで、アレックス・ペントランドという学者が「Eigenface」法を提案したことから生まれました。簡単に言えば、画像内の特徴量を分解して顔認識を行うのですが、この技術は光の干渉に弱いため、当時は実用化されていませんでした。

その後、学界は新しい方法を提案し続けましたが、基本的な考え方は、画像の特徴を抽出し、認識のための分類器を設計するというものでした。特徴抽出研究の分野は長年にわたって急速に進歩してきました。近年、顔認識には主にディープラーニングが使用され、特徴抽出と分類器設計が 1 つに統合され、いわゆる「エンドツーエンド」の認識方法が実現されています。

現在、ビッグデータとディープラーニング技術のサポートにより、顔認識は高い精度と優れた堅牢性（堅牢性、変数に抵抗する能力）を備えています。そのため、顔認識は現在、実用化への道を歩み始めています。

顔認識研究の初期の頃は、精度が他の方法より 1% 高ければ論文を発表できました。すでに 99% を超えているため、現在 1% を達成することは不可能です。我が国の人工知能の発展において、最も重要かつ成功している分野の一つはパターン認識です。画像認識の面では、我が国の顔認識技術は国際的にもトップクラスであると言えます。

北京科技日報：似た顔を持つ人（双子など）は、お互いの顔認識ができると聞きました。この問題は現在の顔認識システムでは解決できないのでしょうか?

高新波：理論的には、似たような顔を持つ人物を識別すると認識の難易度が上がり、精度は低下しますが、不可能ではありません。現実世界では、非常に似ている人でも両親や知人によって区別できます。これは、これらの顔がまだ異なっており、人工知能が確実に認識できることを示しています。私たちがすべきことは、ニューラルネットワークがトレーニング中に双子の顔データを具体的に区別し、認識強度を高めることができるように、トレーニングサンプルとして双子の顔データを大量に収集するなど、システムのトレーニングを強化することです。

しかし、多くの組織は、個人のニーズに合わせてテクノロジーに投資する必要があるとは考えていません。 AI のディープラーニングトレーニングは比較的エネルギーを消費します。大規模なモデルには多数のニューラル ネットワーク層とノードがあり、各トレーニング セッションには大量の電力が消費されます。したがって、似たような顔を持つ人々を識別することは技術的に不可能ではありません。しかし、コスト削減などの総合的な考慮に基づくと、この問題を解決するために複数の検証を使用するほうがよいかもしれません。

情報漏洩のリスクがあり、顔認識技術はプライバシー保護に重点を置き始める

北京科技日報：顔情報の漏洩に関するニュースにより、国民は個人のプライバシーとセキュリティについて懸念を抱いている。関連するプライバシーをより適切に保護するにはどうすればよいでしょうか?

高新波：これは非常に重要な話題です。ビッグデータのプライバシー保護は、私たちが常に考えている研究の方向性です。

私たちは現在、個人のプライバシーを保護する、つまりビデオ監視における「匿名化」を実現するビデオ監視システムの開発に取り組んでいます。匿名化スキームは 2 つあります。 1 つは、システムが人間の顔を変形し、処理された顔が人間には認識できないが、機械には認識できるというものです (A はカメラの前に立っていますが、コンピューターは存在しない Z を記録します)。このように匿名の顔を「偽造」することで、プライバシーを保護することができます。

もう1つは「顔スワッピング」で、データベース内に既存の顔とは異なる顔を作成して人物を置き換え、透かしなどの方法で元の顔を埋め込むというものだ。ある人物を追跡する必要がある場合、テクノロジーを利用してその人物が誰であるかを突き止めることができます。一般的なシステムにはこの技術が備わっておらず、見ることができるのは本人ではありません。

私たちのアイデアは、監視カメラにチップやモジュールを追加して匿名化処理を行い、レンズから送信される写真や動画が「自分」のものではないようにすることです。同時に、私たちのプライバシーを保護するために、情報を追跡する権限を持つのは公的機関（警察など）だけです。

北京科技日報：先ほどおっしゃった「匿名化」により、人間が特定することは不可能になりますが、機械は依然として認識することができます。では、人間には識別できても機械には識別できないようにする方法はあるのでしょうか?

高新波：はい。現在、「敵対的学習」と呼ばれる新しいタイプの技術があり、これは顔に特殊なパッチを貼り付けて機械の認識を妨害するものです。これらのパッチは敵対的サンプルと呼ばれます。将来的に過度な収集から個人のプライバシーを保護したい場合は、パッチのようなものを使用する可能性があります。これを顔に貼り付けると、コンピューターや監視カメラなどが認識できなくなります。現在、この技術に取り組んでいる人もいます。さらに、これらのパッチは比較的小さく設計できるため、現実世界では他の人が認識しやすくなりますが、コンピューターだけでは認識できません。

コンピューターに貼り付けたものをコンピューターが認識できないのはなぜですか?人工知能の「説明可能性」は非常に低いからです。つまり、認識できることはわかっているが、どのように認識するかを説明するのは難しい。なぜなら、AIが「深く学習」しているのは、ニューラルネットワークによって設計された「特徴」であり、人間にはまったく理解できないからだ。そのため、科学者たちは、写真に何かを追加するとコンピューターがそれを認識しにくくなる場合があることを発見しました。そのため、この機能を使用して敵対的サンプルの使用を拡大することができます。

実際、顔認識の分野には研究する価値のある領域がまだたくさんあります。しかし、プライバシーの保護は現時点で最も重要な問題です。結局のところ、私たちは科学技術が問題を引き起こすのではなく、人類に利益をもたらすために使われることを望んでいます。

北京科技日報：おっしゃるとおり、顔認識技術は一定のレベルに達しています。しかし、犯罪者は顔認識を破る新しい方法を常に考え出しており、顔認識は潜在的なセキュリティの抜け穴や隠れた危険となっているようです。これについてどう思いますか？

高新波：これも非常に重要な問題です。科学技術は諸刃の剣のようなものです。一方で、それらは誰にとっても便利さをもたらしますが、他方では隠れた危険を生み出します。

科学技術自体には価値がない。しかし、私たち人間には価値観があり、善悪や白と黒を区別できるため、テクノロジーの価値はそのユーザーによって異なります。ユーザーが正しい価値観を持っている場合、テクノロジーはプラスの効果をもたらしますが、そうでない場合はマイナスの効果をもたらします。しかし、両者のゲームは科学技術の進歩を促進し、常に問題を解決する過程で前進することにもなります。

技術の発展は常に問題に遅れをとるため、この段階で問題が発生しないように最善を尽くさなければなりません。これによって 2 つのルートが生まれます。一つ目は社会教育です。ユーザーに正しい価値観と価値観のガイダンスを提供する必要があります。 2つ目は、制度や規制の抑制力です。法律は規則や規制を制定し、犯罪者を拘束し、厳重に処罰するだけでなく、関係機関に強力な法的義務を与え、人々の生物学的情報を保護するよう促すべきである。つまり、「徳によって民を納得させる」ことと、「法に基づいて国を治める」ことの両方をしなければならないのです。

制作：サイエンス・セントラル・キッチン

制作：北京科学技術ニュース |北京科学技術メディア