Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

顔パス改札をもう破った人がいる

自動改札は阪急電鉄が初めて導入した様に、新たな技術導入は西日本の方が意欲的なのかも知れません。顔認証改札の実証実験がどんな結果になるのでしょうか。

www.fnn.jp

 

大阪府内を走る「大阪メトロ(「大阪市高速電気軌道株式会社)」が、改札を「顔認証改札」に変えるべく、12月10日から大阪メトロの社員を対象に実証実験を開始したのだ。

この「顔認証改札」のシステムは、利用者が改札を通過する際に備え付けのカメラで顔を撮影し、顔の特徴点のデータを本社のサーバーに送信。事前に登録された顔写真と照合し、承認されれば改札機の扉を開ける未来型の改札で、全国の鉄道会社でも初の導入とのこと。

(FNNPrime記事より引用)

 

◆キタきつねの所感

12月9日に報道陣に公開された大阪メトロの実証実験の顔パス改札ですが、実証実験開始早々でもう破られていました流石関西のニュース番組、やる事がえげつないです

www.mbs.jp

 

 

f:id:foxcafelate:20191214080432p:plain

MBS Newsミント記事より引用) 

 

顔認証システムへの攻撃という意味では基本中の基本とも言える攻撃が、静止画での本人偽装なのですが、実証実験とは言え、対策してないとは思いませんでした

この攻撃が成功するという事は、例えば1枚の通学定期をクラス全員で使い回しできるという問題を将来抱える可能性がある事を示唆しています。(大阪メトロとしても、静止画偽装に気づきやすい駅員の有人監視ではなく、極力無人化したい意向でこうしたゲートを導入するのだと思いますので、実証はともかく、本格導入には対策が必要な気がします)

 

実証実験で、おそらく重点的に確認されるのが、「花粉対策」ではないでしょうか。顔認証はサングラスやマスクをかけると極端に認証率が落ちます。インフルエンザの流行で最近は電車の中でもマスク姿の方を多くみかける様になりました。更にこれから春先に向けてはスギ花粉が飛散しますので、この時期に開始した実証実験という事で、この辺りをどう対策(ユーザ告知)していくのかが、本格導入に向けての鍵になるかと思います。

 

現時点での課題は、、もう1つありそうです。大阪メトロの職員の方の実証映像を見る限り、、、

www.youtube.com

 

改札前で顔認証の為に1秒以上止まっていますラッシュ時の改札通過人数が非常に多い、大都市圏の自動改札で1秒は致命的な気がします。乗客の方のクレームが出そうな点、この辺りも今後改善されるのかと思いますが、実証実験の結果が気になる所です。

 

大阪メトロは、大阪万博に向けて実証を通じて2024年までに全駅への設置を目指すという事ですが、海外からの旅行客の一部の方はサングラスをかけている事などを考えると、顔認証だけの改札になっていくにはまだまだ時間がかかると思います。

 

日本初の顔パス改札であったのは、こうした課題が既に判明していたからだったのではないでしょうか。

 

因みに中国では顔パス改札が既に導入されていますが、元々中国の鉄道では乗車前に本人確認が行われる事があってとても時間がかかっていた所に、顔認証システムが導入されたという経緯が、日本とは少し違うかと思います。

ftsafe.co.jp

 

(中国での従来の改札通行方法は、セキュリティや乗車チェックの観点から日本とは大きく異なります。 切符を購入すると、切符に氏名が書かれているものが発行されます。そして、「切符の名前」と「身分証明書」と「本人」が一致しなければ、改札を通過することができません。 当然、一人のチェックに時間を要すため、改札口は大変混み合ってしまいます。そのため、改札でチェックするための多くの人員が必要となります。)

北京西駅の旅客輸送部門の責任者は、記者の取材に対して、「北京西駅では11月末からセルフ改札口が開設され、今まで順調に稼働しています。
毎日セルフ改札口を利用する人数はおよそ1.4万から1.8万人ぐらいです。改札口を通るスピードが速く、大体5秒で駅内に入れます。」とコメントしておりました。

(飛天ジャパン記事より引用)

 

飛天ジャパンのブログ記事にもありますが、1人5秒で改札を通過できたとしても、従来よりも高速で便利と思われる環境であったら、普及が進んでいるのであって、日本の大都市圏の様に多くの方が改札をラッシュ時に通過する事を前提としている訳ではないのです。

 

こうした違いを考えると、大阪メトロの実証実験は色々な気づき(問題点)が出てくるのかと思います。その結果、あるいは検出された問題点への対策について注目したいと思います。

 

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

  

交通系ICカードの自動改札のイラスト「開かない」

 

更新履歴

  • 2019年12月14日AM(予約投稿)