Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

顔画像の流出がもたらす影響

生体情報の漏洩事件でこれだけ大規模な規模で発生したのは初めて聞きます。

media.dglab.com

 

【東方新報】中国で最近、AIを活用した防犯サービスの企業で大規模なデータ流出事件が発生したと報道されている。流出した250万人分超の情報と、流出の疑いがある680万件のデータには、個人の身分情報、顔認証画像や画像撮影場所などの情報が含まれているという。

 微博(ウェイボー、Weibo)安全応急対応センターやその他のプラットフォームの情報によると、データを流出させた企業名は、深セン市(Shenzhen)の深網視界科技(SenseNets)。2015年設立した企業で、筆頭株主は上場会社である「東方網力科技(NetPosa Technologies)」でビデオ監視システムを主な業務とする企業だ。顔認証システム技術は「深網視界」の主な研究開発の中核であり、各地の公安部門とのAI防犯に関する広範な協力関係がベースとなっている。

 データ流出事件が報じられた後、深網視界の公式サイトはアクセスできなくなった。記者が同社に電話を入れ事件について確認すると、調査中との回答だった。

(HAUS記事より引用)

 

◆キタきつねの所感

中国では既に警察などで犯罪抑止、あるいは捜査の為に大規模な顔認証システムが稼動しています。今回情報漏えいが疑われるのは民間企業の様ですが、少なくても250万件、最大で930万件の個人情報(身分情報、顔認証画像、画像撮影場所)が仮に他国政府が手に入れたとすれば、色々な意味で活用が出来るデータベースになるかも知れません。

 

参考:

foxsecurity.hatenablog.com

 

あるいはスパイ映画さながらに、”顔認証システムを騙す”ための基礎データとして使う、または特徴点抽出の認証ロジック解析に使うなど、漏洩したデータ量が大きいが故に、何かに使えてしまうのではないかと思ってしまいます。

ボーダー(入国管理)や警察(犯罪捜査・抑止)という点では、顔認証の巨大なDBを作るのは当たり前の世界だと思いますが、中央集中型のデータベースはハッキングなどで情報漏洩した際は、全てデータが流出してしまうリスクがあります。今回はまさにそのケースだったのかと思いますが、2015年設立の比較的若い企業だったが故に、技術優先でセキュリティ対策が甘かったのかなと推測します。

日本でもサーバ型のFinTechの生体認証サービスなどがいくつも試行されていますが、個人的にはあまり信用していません。それよりも、iPhoneのFaceIDやTouchIDもそうですが、FIDOの様な個々の端末側に認証情報を格納するやり方(分散保管方式)の方が、個人で使うサービスでは安心感があります。

 

サービス事業者は技術よりの考えだけでなく、生体情報(機微な情報)を守った上でのサービスである事を改めて考えて欲しいものです。

 

まぁ、端末に格納されているからといって、生体情報が全て安全という訳ではないのですが・・・。

www.reddit.com

 

 

 

foxsecurity.hatenablog.com

 

foxsecurity.hatenablog.com

 

é²ç¯ã«ã¡ã©ã«é©ãæ³¥æ£ã®ã¤ã©ã¹ã

更新履歴

  • 2019年3月9日PM(予約投稿)