- About Trend Micro
- プレスリリース
- 生体情報の露呈が引き起こすサイバーリスクを調査
顔写真、音声など生体情報の露呈が引き起こすサイバーリスクを調査
~ディープフェイク、アカウント乗っ取り、なりすましなどに結びつく恐れ~
2023年3月8日
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、ソーシャルメディアや企業および政府のWebサイトに顔写真、音声などの生体情報が投稿された際のサイバーリスクを調査、分析したリサーチペーパー※1を本日公開したことをお知らせします。
※1 「一度漏えいした情報は一生悪用される ソーシャルメディアにおける生体情報漏えいが将来に及ぼす影響」
リサーチペーパーのダウンロードはこちら
本調査は、ソーシャルメディアや企業および政府のWebサイトに顔写真、音声などの生体情報が投稿された際、発生する可能性があるサイバーリスク及び行うべき対策を明らかにすることを目的に実施しました。近年、出入国管理やATM利用、スマートフォンのロック解除時など、さまざまな場面で生体情報が認証要素として利用されています。生体情報は、固有のものであるためセキュリティ強度が高い一方で、パスワードと異なり、変更することがほぼ不可能なため、一度露呈してしまうと深刻なリスクにつながる可能性があります。
本リサーチペーパーの主なトピックは以下の通りです。
1.ソーシャルメディアで、個人の顔、虹彩、声紋、指紋など機密性の高い生体情報が露呈
ソーシャルメディア上に写真や動画を投稿することは、顔、虹彩、耳介、声紋、掌形、指紋等の生体情報の露呈につながる可能性があります。例えば、Instagram では、#EyeMakeup というハッシュタグを付けた投稿が1,000 万件近くあり、これらの投稿を通じてユーザは虹彩パターンの情報を露呈しています。近年、高性能なスマートフォンのカメラや4K/8K等の動画の利用により、コンテンツの解像度が向上し、より高い品質でユーザの生体特徴を抽出できます。今後、ソーシャルメディアの利用者およびソーシャルメディアプラットフォームの提供者は、ソーシャルメディアでの情報公開が、生体情報を露呈するリスクに繋がる恐れがあるという認識を深める必要があります。
図1:YouTube における虹彩情報の露呈
2. 企業および政府のWebサイトで、国家や業界に重要な影響力がある人物の生体情報が露呈
企業および政府のWebサイトでは、国家や業界に重要な影響力がある人物の肖像写真や動画、音声データが公開されています。Webサイトに掲載されるコンテンツの中には、高解像度で、画像のほんの一部からでも、露呈している生体特徴を鮮明に収集できることがあります。実際、欧州委員会の公式サイトでは、政府高官の肖像写真が10MP(メガピクセル)以上の解像度で公開されています。
図2:欧州委員会の公式サイトで肖像写真を検索した結果
図3:欧州委員会の公式サイトで公開されている高解像度写真、露呈している手の形
3.生体情報の露呈は、ディープフェイク、アカウント乗っ取り、なりすましなどに結びつく恐れ
サイバー犯罪者に、ソーシャルメディアや企業および政府のWebサイトで露呈した生体情報が悪用された場合、ディープフェイクによる偽情報の流布、スマートデバイスの悪用、アカウント乗っ取り、なりすましなど、さまざまな攻撃に結びつくことが想定されます。特に、国家や特定の業界に影響力をもつ人物の顔、虹彩、耳介、声紋、掌形といった生体情報からディープフェイク技術を使用し、偽の音声メッセージや動画を制作、拡散し、彼らの評判に深刻なダメージを与えたり、国民を混乱させるフェイクニュースの流布が行われる懸念があります。また、財務・会計担当者に虚偽の送金指示を送るビジネスメール詐欺(BEC)といったサイバー攻撃が引き起こされる恐れもあります。また、ソーシャルメディアで公開された個人の生体情報が悪用された場合は、恐喝や詐欺を目的に、偽のコンテンツ投稿による評判操作や親戚や友人に偽の音声メッセージを送るなりすまし攻撃などが想定されます。加えて、生体認証ドアロックの不正開錠による自宅、学校、政府機関や研究機関などの建物への侵入も懸念されます。
図4: 生体認証に関してトレンドマイクロが予測する攻撃シナリオ例
生体情報は、パスワードのように簡単に変更できません。生体認証の露呈が、場合によっては、一生に渡って影響を及ぼす可能性もあります。
ユーザは、露呈するリスクのある主要な生体情報である顔、虹彩、声紋、指紋、掌形等について、公開する生体情報を最小限に抑えたり、悪用されるリスクを減らすために解像度を最小化し投稿すること、投稿へのアクセス権限を正しく制御・管理することが重要です。また、利用するサービスに多要素認証機能が提供されている場合には、生体情報とパスワードやデバイスを用いた記憶(ユーザが知っているもの)や所有物(ユーザがもっているもの)といった生体認証以外の要素を組み合わせて利用することを推奨します。万が一、生体認証を用いた単要素認証機能のみが提供されている場合は、露呈していない可能性の高い生体情報を利用することが大切です。
ソーシャルメディアプラットフォームの提供者や認証機能を利用したサービスを提供する事業者は、複数の認証要素を組み合わせた多要素認証機能をユーザに提供することが推奨されます。加えて、サービス利用規約に生体情報の取り扱いに関わる制限を設けることで、自社サービスが不正に利用される可能性を低減できます。