他人に変装したスパイは顔認証システム「eKYC」を突破できるのか？

Osamu Yamakami

2022.12.26

LIGブログをご覧の皆さま、こんにちは。

LIGのバックエンドエンジニア、山上（やまかみ）です。社員からはガミさんと呼ばれています。

突然ですが、スパイってカッコいいですよね？

なんらかの機関に潜入したり、極秘情報を入手したり、工作活動をしたり、正体がバレて敵と戦闘になったり、欺いたり、騙したり。

映画、ドラマ、漫画、アニメ。スパイが活躍する作品は枚挙に暇がありません。スパイはそれほど魅力的な存在であると言えるでしょう。

かくいう私もスパイには憧れていました。

ところで、私には一つ疑問があるのですが……。

スパイの変装って現代社会のセキュリティも突破できるの？

……だってさ、フィクションではどんなに警備が厳重な場所も服装とか顔とかを変えて他人になりすまして突破してるけど、あれって人間の警備員とかが相手じゃん。

現代社会のセキュリティって、コンピュータじゃん。無理じゃね？

……とはいえ、スパイに対する憧れの気持ちは消えません。スパイだったら、カッコよく現代社会のセキュリティすなわち「顔認証」も華麗に突破できるはず。

逆にいうと、もし顔認証を突破することができたら私は今日から憧れのスパイ。

やってやろうじゃないか！！！（興奮）

【企画趣旨説明】

今回、私が扮するのはこちらの人物。

同僚（LIG社員）のバックエンドエンジニア「うーまー」である。

実は、以前から社内で私とうーまーは似ていると言われ続けていました。「見分けがつかないよ！」なんてネタにされてきたわけですが、所詮は人間相手の話です。

コンピューターのレベルで判断すれば、顔のパーツも骨格も全然違うでしょうね。

そして今回の敵、突破すべき本人確認システムがこちらのカンタンeKYCです。スマホで誰でも簡単にオンライン顔認証できるというこちらのサービスですが

銀行などのオンライン本人確認システムとして導入されている、ガッチガチのセキュリティちゃんです。

気になる本人確認システムの内容ですが

①携帯のカメラで運転免許証などの顔つきの身分証明書を読み取る

②本人（認証を得たい人）の顔を複数の角度で撮影する

③システムが①と②の類似率を割り出し、担当者が管理ページで確認する

④類似率を踏まえて、担当者が写真データをもとに最終判定

という、いたってシンプルながら、最終的に人間が目視で判断をするという二段階認証。

身分証明証の写真と撮影者の顔が同じかどうかをコンピューター独自のアルゴリズムで類似率を出すのですが、最終的にそれをどれだけ厳密に審査して「本人」と判断するかどうかは、カンタンeKYCを導入する企業側の基準によるとのこと。

例えば、「顔の類似率が100%」じゃないと本人としては認めないとすることもできれば、「90%以上なら」「95%以上なら」など判定の基準は企業によるそう。

100%じゃないとシステムで弾かれるなんてことがあれば、本人なのになかなか顔認証が通らなくて不便！という事態を招きかねないので。その辺のバッファを持たせることができるのは良いですよね。

というわけで、この「うーまーの免許証」と私の顔をどれだけ似せられるかの勝負というわけです。顔認証システムとかいう現代セキュリティを果たして騙せるのか……。

スパイ冥利に尽きるぜ。

【挑戦開始】

レベル1：何もしない

まぁ、とりあえず何もしないで素の状態の私で挑戦してみましょう。いわゆる「舐めプ」です。

まずは挨拶がてら、相手の強さを把握するというスパイ独自の攻め方ね。狡猾でしょ。

eKYCでまずは、うーまーの免許証を撮影します。今回、私はこいつになりたい。

次に角度を変えて複数回撮影。これにより立体的な情報を得ることができるのでしょうか。

さて……結果はどうなる？？

・

類似率36%。

マジで！？何もしてないのにこの類似率！？

ほぼ3分の1、うーまーってこと？ポテンシャル高すぎない？

……おっと、いけませんね。スパイがこの程度のことで取り乱しては。この結果では当然、顔認証を突破することなどできません。完全に別人。

ともあれ、カンタンeKYCの管理画面はシンプルでわかりやすいです。このように顔認証の申請がくると一覧で表示され、受信した日付によってソートすることができます。

これをクリックすると先ほどの判定結果の表示画面になり、

結果画面もシンプルでわかりやすいです。免許証の写真は虫眼鏡で拡大することもできます。免許証と撮影者の写真を上下で見比べながら、コンピューターが算出した顔の類似率を参考に認証するかを判断することができます。

さて、ここからは本気のスパイをお見せしましょう。

出かけてきます。

・

ここからが本番です。

レベル2：ものまねメイク

今度はうーまーになりすますために、「うーまー風メイク」を施してみたいと思います。

多分、私が世界で初めて「うーまー風メイク」に挑戦する男でしょう。

ちなみに自分では無理なので、その道のプロのメイクさんを雇いました。

肌の色をうーまーに近づけ、陰影を入れたり、顔のシワや目尻の深さなどを調整していきます。

何もせずに顔の類似率が36%だったわけですから、このメイクでかなり変わるのではないでしょうか？少なくとも人間相手ならかなり騙せそうです。

ただ、コンピューターはそもそも顔が似ている似ていないを判断基準にしておらず、パーツの位置や骨格で判断している可能性があるので油断はできません。

うーまーの方がややぽっちゃりしているので、頬にコットンを詰めてふくらみを作ります。

うーまー風メイクの完成です。初見の皆様には伝わらないと思いますが、あまりにもうーまーに似ているため社内では爆笑が起きました。

ぶっちゃけ、この仕上がりならLIG社内のセキュリティ（人間相手）であれば突破できると思いますね。

再びeKYCで撮影します。

さあ、どうなんだ？手応えはかなりあるが……

・

類似率68%！

うわ〜！！！かなりイケると思ったんですが、コンピューターの判定は厳しめ。

でも、どんどん見た目を寄せていくことでセキュリティ突破に迫れているのは素晴らしい（？）ですね。なんか、この路線を続けていけばいつかはうーまーになれると思うんですが、数ヶ月かけて太ったり徐々に整形をしていかないとダメなんだろうなぁ……。

1日ではこれが限界のような気がします。頑張ったのに悔しい。

いや、悔しいなんていう言葉はスパイの辞書にはない。ミッションを達成するには、顔認証のセキュリティを突破しなければならんのだ（使命感）。

レベル3：3Dうーまーマスク

というわけで、最後の手段にでます。

本人そっくりの「3Dうーまーマスク」を発注してみました。

メガネごと3Dマスクにすると角度でバレるので、こちらのメガネなしバージョンのうーまー写真をベースに制作しました。

このマスクにさらに血色感など施して、完全に「うーまー本人の顔」で挑みたいと思います。

さすがにこれは突破できちゃうのでは？

が、このマスク、微妙にオーバーサイズなんですよね。大丈夫でしょうか？不自然に顔だけ大きいことをコンピュータは見抜くのか？？

それでは、最後の顔認証に挑戦してみたいと思います。すごく犯罪の匂いがするので、皆さんは絶対に真似しないでください。これが許されるのはスパイだけです。

・

アレ！？

……なんか、絶妙にエラーが出てしまいますね。

これは予想外です。やはり顔のサイズが不自然すぎるのでしょうか？

確かに街中で歩いているのを見かけたら、少し距離を置きたくなるような風貌ではありますが。コンピューター的にも「これはナシで」となっているのでしょうか。

……ふざけるなよ。ここまできてエラーで引き下がれるか。

私は顔認証を絶対に突破しないといけないんだ。うーまーなんだ、私は。

スパイである前に、うーまーなんだ。

帽子を被ったらいけるんじゃね？

・

ダメでした

【最後の関門が残されていた……】

現代の顔認証セキュリティは甘くなかったようです。

しかも、カンタンeKYCはコンピューターが出した類似率をもとに、最終的には人間が目視で判断するということを思い出しました。仮にエラーが出なかったとしても、あの顔だけ巨人男を目視で判断されたら一貫の終わりでしょうね。

……ところで、今回はうっかり「3Dうーまーマスク」をオーバーサイズで作ってしまったのですが、これがサイズピッタリで違和感のまったくないマスクだったらどうだったのでしょうか？

人間もコンピューターもどっちも騙せて、顔認証を突破できたのでは？

そもそも私のように、マスクまで作って本人に成り済まそうとするヤツなどいないと信じたいところですが、万が一そんなケースがあった場合ちゃんと人間は見極められるの？

ということで、顔認証システムの目視チェックを企業の代理で行っている株式会社ネクスウェイさんに話を聞いてみました。

目視チェック代理会社に話を聞いてみた

	株式会社ネクスウェイネクスウェイは約13000法人をサポート。30年の歴史を誇るFAX一斉送信サービスをはじめ、本人確認をトータルで支援するKYCクラウドサービスなど、お客様のニーズや時代の流れに合わせたラインナップを取り揃えています。

Q.目視チェックの見極めポイントはあるんですか？