生体情報の露呈が引き起こすサイバーリスクを解説
私たちがオンラインで公開している写真、動画、音声には、サイバー犯罪者に悪用される可能性がある生体情報が含まれている場合があります。本稿では、生体情報の露呈が引き起こすサイバーリスクについて解説します。
ソーシャルメディアや企業および政府のWebサイトでは、どのような生体情報が露呈しているのか?
生体情報とは、顔、虹彩、耳介、声紋、掌形、指紋といった一人ひとり違う身体の特徴に関する情報です。生体情報は、本人確認と認証に使用できる固有のものであり、数十年にわたって、犯罪捜査や科学捜査の促進、政府施設への出入など、さまざまな用途で使用されてきました。近年は利用用途が拡大し、一般の人々がオンラインサービスへログインする際やATMでの現金の引き出し、税関等の出入国システムの通過、スマートフォンやタブレットの利用など、生体情報は個人を識別する要素の1つとして多くのサービスで利用されています。
しかし、私たちは、この機微な個人情報である「生体情報」を、ソーシャルメディアや企業および政府のWebサイト上に意図せず公開していることが伺えます。
例えば、著名なソーシャルメディアであるInstagramでは、#EyeMakeupというハッシュタグを付けた投稿が1,000万件近くあり、TikTokでは、#EyeChallengeというハッシュタグを付けた動画の再生回数が20億回を超えています。しかし、これらの投稿は虹彩パターンの情報が含まれている場合があります。
音声メッセージを投稿することは、声紋情報の露呈につながり、写真や動画を投稿することは、顔、網膜、虹彩、耳介などのパターン情報の露呈、場合によっては掌形や指紋を露呈することに繋がります。
これが識別不能な非常に悪い画質であれば特に問題はないですが、近年、高性能なスマートフォンのカメラや4K/8K等の動画の利用により、コンテンツの解像度が向上し、より高い品質でユーザの生体特徴を抽出できます。
ソーシャルメディアは、いまや一般の人々だけでなく世界中の企業や公的機関にとって利用価値のある情報発信ツールです。日々、大量の投稿が公開され、世界中の人々が個人的な経験や考えを共有したり、企業や組織が自組織の最新情報を発信していますが、その投稿内容には、個人を特定する機微な情報である顔、虹彩、耳介、声紋、掌形、指紋等の生体情報が含まれている場合があります。
今後、ソーシャルメディアの利用者およびソーシャルメディアプラットフォームの提供者は、ソーシャルメディアでの情報公開が、生体情報を露呈するリスクに繋がる恐れがあるという認識を深める必要があります。
また、企業および政府のWebサイトでは、国家や業界に重要な影響力がある人物の肖像写真や動画、音声データが公開されています。Webサイトに掲載されるコンテンツの中には、高解像度で、画像のほんの一部からでも、露呈している生体特徴を鮮明に収集できることがあります。実際、欧州委員会の公式サイトでは、政府高官の肖像写真が10MP(メガピクセル)以上の解像度で公開されています。キーワード、カテゴリ、日付範囲などのパラメータを使用して検索を実行すれば、政府高官の5万枚以上の写真と12万本以上の動画が見つかります。動画はさまざまな解像度で提供され、その音声トラックは別ファイルとして提供されています。
顔や声紋が含まれる高解像度映像や画像は、以下のように悪用される懸念があります。
●顔と声のパターンを使ってディープフェイクにより偽の動画を作成する
●音声認証を必要とするサービスへアクセスされ、アカウントが乗っ取られる(リストに記載されたフレーズやランダムに表示される文言を認証のために発話させるケースなど)
●顔認証を利用したサービスへアクセスされアカウントが乗っ取られる
このようにサイバー犯罪者に、ソーシャルメディアや企業および政府のWebサイトで露呈した生体情報が悪用された場合、ディープフェイクによる偽情報の流布、スマートフォンやタブレットの悪用、アカウント乗っ取り、なりすましなど、さまざまな攻撃に結びつくことが想定されます。特に、国家や特定の業界に影響力をもつ人物の顔、虹彩、耳介、声紋、掌形といった生体情報からディープフェイク技術を使用し、偽の音声メッセージや動画を制作、拡散し、彼らの評判に深刻なダメージを与えたり、国民を混乱させるフェイクニュースの流布が行われる懸念があります。また、財務・会計担当者に虚偽の送金指示を送るビジネスメール詐欺(BEC)といったサイバー攻撃が引き起こされる恐れもあります。さらに、ソーシャルメディアで公開された個人の生体情報が悪用された場合は、恐喝や詐欺を目的に、偽のコンテンツ投稿による評判操作や親戚や友人に偽の音声メッセージを送るなりすまし攻撃などが想定されます。加えて、生体認証ドアロックの不正開錠による自宅、学校、政府機関や研究機関などの建物への侵入も懸念されます。
<攻撃者に生体情報を悪用されることで想定されるサイバーリスクの例>
●メッセージングやなりすましの詐欺:標的となる個人の友人や家族に詐欺被害が及ぶ。
●ビジネスメール詐欺:通話などでディープフェイクが使用され、同僚やビジネスパートナーになりすました偽の送金依頼が実行される。
●新アカウントの作成:公開された個人情報で本人確認サービスを回避した犯罪者が、銀行や金融機関、公共サービスなどで新たなアカウントを作成し、自分たちの不正活動に利用する。
●恐喝メール:ソーシャルメディア上で公開された生体情報が悪用され、より効果的な恐喝の材料が作成される。
●偽情報:有名人の偽物を使って世論の操作が可能となる。このような策略により、経済的、政治的、風評的な被害が発生する。
●デバイスの乗っ取り:IoTデバイスや、音声認識や顔認識が利用できるガジェットなどが盗まれたり、乗っ取られたりする。
生体情報の露呈が引き起こすサイバーリスクを低減するために行うべき対策とは?
生体情報は、パスワードのように簡単に変更できません。一度公開すると変更がほぼ不可能です。生体認証の露呈が、場合によっては、一生に渡って影響を及ぼす可能性もあります。
したがって、どのような個人の生体情報がすでに公開されているか、公開される可能性があるか、そのような内容の公開が自分にどのような影響を与えるかを知っておくことが重要となります。
具体的な対策として、ユーザは、露呈するリスクのある主要な生体情報である顔、虹彩、声紋、指紋、掌形等について、公開する生体情報を最小限に抑えたり、露出度の低い生体情報(指紋など)を使用することをお勧めします。また、悪用されるリスクを減らすために解像度を最小化し投稿すること、特定箇所や特徴をぼかしたりするのもよいでしょう。加えて、投稿へのアクセス権限を正しく制御・管理することが重要です。また、利用するサービスに多要素認証機能が提供されている場合には、生体情報(ユーザが持っているもの)とパスワードやデバイスを用いた記憶(ユーザが知っているもの)や所有物(ユーザが持っているもの)といった生体認証以外の要素を組み合わせて利用することを推奨します。万が一、生体認証を用いた単要素認証機能のみが提供されている場合は、露呈していない可能性の高い生体情報を利用することが大切です。
ソーシャルメディアプラットフォームの提供者や認証機能を利用したサービスを提供する事業者は、複数の認証要素を組み合わせた多要素認証機能をユーザに提供することが求められます。加えて、サービス利用規約に生体情報の取り扱いに関わる制限を設けることで、自社サービスが不正に利用される可能性を低減できます。
生体情報の露呈が引き起こすサイバーリスクに関する詳細はトレンドマイクロのリサーチペーパー「一度漏えいした情報は一生悪用される」をご覧ください。
Security GO新着記事
内部不正はなぜ起こるのか?~その発生のメカニズムを探る~
(2024年12月5日)
AIガバナンスの動向は?各国のAI法規制を概観
(2024年12月4日)
仮想通貨(暗号資産)取引所を狙う攻撃を考察
(2024年12月4日)