P901iSの顔認証を「写真」でクラックしてみると

[杉浦正武，ITmedia]

　ドコモの「P901iS」といえば、セキュリティ強化のため顔認証を取り入れたのが特徴の1つ（6月7日の記事参照）。しかしこの認証、「本人の写真」を使うと破られたりしないのだろうか？　実際に試してみた。

登録写真と似た写真を用意すると……

　P901iSでは、「メニュー」キーの長押しでセキュリティロックをかけられる。メニューキーを再び長押しするとロックを解除できるが、このときあらかじめ設定しておけば「顔認証＋4桁のパスワード認証」、というダブルセキュリティを施すことができる（5月17日の記事参照）。

セキュリティロックをかけたところ。画面左上にカギのマークが表示されている

顔認証しているところ。「自分撮り」の画像が登録画像と異なると、右のようにエラーが出る

　しかし、この顔認証で本人の写真をかざして「パチリ」とカメラで撮れば、認証を“ごまかせる”のでは――誰もが考えそうだが、実際のところはどうだろう。

　ドコモに聞いてみると、公式コメントは「顔認証では立体的な部分も認識している。基本的には不可能」。ただ、端末側に登録した写真とぴったり合うような画像だと、場合によっては認識してしまうこともあるという。

　なにやら、可能性を完全には排除しない玉虫色の回答。これは実際に試すしかない。編集部の人間を顔認識で登録してもらった上で、なるべく表情を似せたデジカメ写真を用意してみた。

デジカメ写真をPC画面に表示させる。これを携帯で撮影してみよう

　カメラを写真画像に近づけて、いざ撮影。結果を待っていると……なんと、暗証番号を聞いてきた。つまり、顔認証をパスしてしまったのだ。正しい暗証番号を入力すると、見事ロックを解除できた。

「そのものズバリ」の写真が必要だが……

　写真でも顔認証が通ってしまったわけだが、実際にこれを悪用しようとしても、簡単にはいかない。

　実験では、顔写真のサイズが小さいとたちまち「顔が枠より小さすぎます　枠に合わせてください」とエラーが出た。大写しになっている写真を持っているならともかく、例えばIDカードの写真とか“集合写真を入手して、その中に小さく映っていた顔を認証させる”といった使い方は難しい。

顔写真が小さいと、認証できない。本来の使い方である「自分撮り」の場合はサイズを調節できるが、写真の場合“寄ってアップにする”といっても限界があるだろう

　また、光の映りこみがあると認証されないケースが多かった。光沢紙にプリントした写真など、表面が光を反射しやすいものは認証されにくいと考えられる。

　表情も重要なポイント。登録した顔が“すました顔”の場合、笑顔で顔認証してもはじかれる場合が多い。つまり、この場合は“すました顔写真”を入手しないと顔認証できないわけだ。あくまで、「登録した顔にしっかり似せた表情の正面写真」が必要になってくる。

　もちろん、P901iSは前述のとおり「顔認証＋暗証番号」のダブルセキュリティに対応した端末。苦労して顔認証を通過しても、暗証番号が分からなかった……という場合もあることを、補足しておく。