AI大国中国で顔認証システムが突破され大金が奪われる
いまやAI大国といえる中国だが、顔認証による本人確認のシステムを導入していた銀行で、個人の口座から日本円で900万円近くが騙し取られる事件が発生した。プライバシーを代償に安全を保証するはずの生体認証の技術さえも、決して完璧とは言えない証左として紹介したい。
“警官”から事件に関わっいるという電話が...
中国の銀行ではすでに本人確認のための顔認証システムが広く導入されている。そんな中、この“顔認証突破”事件は起きた。詳細について「中国新聞週刊」が報じた内容として、中国の複数メディアが引用している。
被害者となったのは女性。彼女の元に、北京の警察官を名乗る人物から電話があったのは2021年6月19日の午前10時半だった。
電話の内容は、その女性のパスポートが中国東北地方、黒竜江省のハルビン市で不法入国に使われたので、ハルビンの警察に届けるように促すものだった。電話の相手はニセ警察官なのだが、女性の身分証の番号を述べたために、女性は本モノの警察官だと信用してしまった。
中国で身分証は、最も重要で基本的なIDだ。戸籍とリンクし、氏名や生年月日が盛り込まれ、何をするにも提示を要求される。
電話はハルビン市の“劉という名の警察官”に転送され、“劉”は女性がマネーロンダリング事件に関わっている疑いがあるなどとして、あるサイトを示した上で、女性にログインして“公文書”を見るよう指示した。
自分が指名手配されている!?
女性が携帯電話でログインしたところ、“指名手配の通知”として、自分の身分証の写真や番号が記されていた。女性はさぞかし、動転したことだろう。
“劉”は更に女性に2つのアプリをダウンロードするよう指示した。1つは、銀行のカードの番号や暗証番号を詐取するためのアプリ、もう1つはオンライン会議のアプリだった。
オンライン会議のアプリは中国で汎用されているもので、画面共有の機能がある。実は、“劉”たちは画面共有の機能を通じて、女性の携帯電話を遠隔操作した。そうして電話やショートメッセージが転送されるように設定し、女性自身が受けられないようにしていた。
“劉”は、彼女が本人であることを確認するという名目で、アプリのオンライン会議の機能を起動するよう求めた。
カードの上限額を設定したのに...
その日の午後、女性は“劉”の指示に従い、中国の大手銀行の一つ、交通銀行の北京市内にある支店に赴き、デビットカードを作った。その際、携帯のアプリやネットを通じたバンキングの機能も使えるようにした。一方、5万元(約102万円)以下の利用でも本人確認が必要な設定にし、1日の振替や引き出しの上限額を5万元にした。
後の調べでわかったのだろう、銀行の記録によれば女性がデビットカードを作り終えた直後には、女性ではない別人が顔認証による本人確認をパスした上で、ユーザーネームやパスワードを設定し直し、女性の携帯のバンキングのアプリにログインしていたという。
女性は、この時点でそんなことに気づいておらず、個人財産を調べるため、全ての預金や現金などもデビットカードに移すようにという“劉”の指示に従ってしまった。
女性は、数回に分けて合わせて42.9万元(約875万円)をこのデビットカードに移した。女性が手続きを始めてから、30分余りのうちに金は全て何者かに引き出されてしまった。
女性は、1日の送金上限を5万元(約102万円)に設定したはずである。だが犯行グループは、女性の「顔」の情報を得ていた。本人確認は、顔認証のみならずショートメッセージで送られる暗証番号なども使われるが、犯行グループはそれも携帯電話の転送機能を使って手に入れていたために、難なく上限額を設定し直すことができた。
銀行の記録によれば、暗証番号の変更や金の引き出しに際し、6回に亘り犯行グループが顔認証による本人確認を“突破”していた。
女性は北京にいたのだが、彼女の携帯にアクセスしたIPアドレスは台湾だったという。
小学生でも顔認証破り?
中国では過去にも顔認証が突破される事件が起きていた。ある被害者は、ニセ警官とのビデオ通話の際に、「口を開けて」「まばたきして」「頭を振って」などの動作を要求されたといい、その際の録画を使って銀行の顔認証システムを突破したのだとみられるという。
顔認証の安全性について注目してきたという専門家は、写真や動画などから顔の情報を得ることによって、技術的に“偽の顔”を作って顔認証のシステムを欺くことができると指摘する。
中国では銀行のみならず、ちょっとしたサービスを提供するアプリを利用する際にも本人確認用に顔認証のための情報を要求されることが多くなった。街の至る所に監視カメラもあり、その録画記録がネット上に流出したことも一度ならずある。犯罪グループに「顔」という個人情報が流れる危険性に満ち溢れているとも言える。
同じ専門家は、顔認証の脆弱性についても提起する。過去には小学生が写真を使って宅配ボックスから他人の荷物を持ち出したケースなどもあったという。
被害は誰の責任か?
今回被害にあった女性は、銀行に対し賠償を求め提訴した。だが、北京の裁判所は今年6月、女性の請求を棄却したという。
銀行側は、顔認証やショートメッセージを通じた暗証番号による本人確認の手続きなどは、監督部門の要求に則ったものであるとした上で、デビッカードの発行の際には、詐欺の危険性について本人にきちんと警告したと主張した。
実際に女性は、銀行が示した注意喚起の書類にサインをしていた。その書類では、まさに今回女性が被害にあったような、犯罪グループがニセの警察官などを装い、犯罪に関与している疑いなどを仄めかした上で、口座番号や暗証番号などを聞き出す手口も紹介していた。
女性は控訴する予定だというが、別の専門家は、こうした事案が起きた際の責任の所在について、まだ法的に整備されておらず、個人の責任にされがちである問題を指摘している。
生体情報が収集される現実
この専門家は、銀行で預金の手続きなどをする際に、顔認証システムを採用することへの同意、即ち銀行側が生体情報を利用することに同意をしなれば、手続きが進まないなど、事実上、強制的に顔認証情報が収集されている現状にも触れている。その上で、顔認証が広がったことによって生じる危険はそもそも、その技術を提供する会社とそれを利用する銀行が生んだもので、顔認証システムの採用によって最も恩恵を得る銀行が、相応の責任を負うべきだと主張する。
顔認証システムによるリスクを防げる能力については、顧客よりも銀行の方がはるかに高いわけで、銀行側が損失を負担するようになれば、顧客情報の収集や保護に慎重になり、技術的な安全性をより強めることになると指摘した上で、こう述べる。
「銀行は顔の情報に対する技術的な保障において一般的な犯罪の手段を上回らなければならず、そうでなければ、顧客の顔認証の情報を集めて利用すべきではない」
中国と日本では、プライバシー保護と利便性との間で軸足の置き方は違う。だが、顔認証や指紋認証などの生体認証の汎用化において先駆けた社会の経験である。生体認証の技術開発に携わる人やその技術を利用しようとする人には、ぜひ知ってもらいたい。