こんちわ。
またニュースからのエントリです。JCBが発表した手のひらだけで支払いが完了する新しい認証基盤、決済基盤についてです。
私は主にサーバ屋の仕事をしていますが、SIer勤めなので必要に応じてなんでも やらされます やっています。新事業提案、マーケティング、セキュリティ、プレセールスなどなど。その中で認証屋としての顔も持っているため、このニュースはビビッときました。
もくじ
ニュースの概要
クレジットカード大手のJCBは、手のひらをかざすだけで本人確認やクレジット払いができる仕組みを開発した。
スマホのカメラであらかじめ手のひらを撮影し登録しておけば支払い時に手をかざすだけで本人確認と決済が可能。スマホのカメラを使うので専用装置は不要。
今年の2月からJCB社員を対象とする実験を行う。
ユニバーサルロボット社の手相と静脈認証の仕組みを使う。
他人の手のひらを本人と誤る確率は1000億分の1。
技術と精度
判別技術
可視光による撮影(普通のスマホのカメラ)で静脈を判別できるわけねーだろ、と思っていたんですが、世の中の技術は進んでいるもので既に開発されているみたいです。今回のニュース記事とは異なりますが、日立がやっている開発のニュースがあったので合わせて紹介します。
日立、スマホカメラを使った指静脈認証技術を開発 - PC Watch
この記事は技術概要に触れているので今回の記事よりわかりやすいです。特殊な処理で静脈を判別しているのではなくて、普通に頑張って画像解析して、指の静脈である青っぽいところを判別するもののようです。
JCBの技術も似たようなものなのだと推測しています。可視光から静脈パターンを取得するのに、これ以外の方法があるとは思えないので。
他人受入率
情報処理試験で聞いたことのある方もいると思います。本当は自分でなければ認証されないはずが、他人の情報で認証突破されてしまう確率のことです。
今回のJCBとユニバーサルロボット社(以降、UR社と記載)の記事は他人受入率が理論値1000億分の1のようです。
UR社のニュースリリースに他人受入率の記載がありました。
一部引用します。
(注)他人受入率 1000 億分の 1 は、掌静脈認証技術(0.0003%)と、掌紋検索技術(0.0003%)を「and 融合」した場合の計算上の最高性能を現しています。
掌静脈認証としては0.0003%みたいですね。100万人に3人だけうまく認証できないと。
掌紋は手相みたいなものですが、こちらも同じく100万人に3人が失敗すると。
掌紋と静脈の相関係数が0であれば確かに1000億分の1になりそうですね。仮に掌紋と静脈の相関が高ければ最大で100万人に3人が誤認証されてしまうと。国内のカード発行枚数は2億7000万枚ほどなので、
2億7000万×(3÷100万)=810人
810人に何かが起こる計算。大胆かつ最も悲観的な仮定を置いた場合の理論値ですけど。
考察・何が変わるか?
スキミングのやり方が変わる
今まではカードを持っていることや、カードに刻印された情報を知っていることが本人確認の方法でした。そのためスキミングはカード自体を盗んだり、専用装置に通して情報を抜くやり方が多かったようです。海外旅行なんかに行こうと思ったらスキミング防止用のお財布を勧められたりしますよね。
しかし今後は如何にターゲットの高精細な手のひら画像を手に入れるかという方向にスキミング屋のトレンドが変わるのかもしれません。今はスマホの写真で指紋窃取できる時代なので好条件下で撮影した手のひら写真はもう危なくなるかもしれません。ただ写真による指紋窃取とは違って手のひら画像の入手は容易ではないため、ぶっちゃけ今のところ恐れる必要はなさそうですけどね。
オンライン手相屋が急増したら気を付けましょう。
個人端末を使う場合
お店で店員さんと対面状態にいるときに手をかざすなら怪しいことはできませんが、自宅でオンライン決済をするにはリスクが増えるかもしれません。自宅で自分のスマホを使って手のひらをカメラに写す時に、その端末が裏でクラッキングされていればカメラ取得情報を転送することは可能です。
最後に所感
手のひらをかざすだけで支払いが完了するというのはかなり便利そうです。また応用範囲も広く、認証装置が汎用機器である点も普及につながる利点です。
ある時は認証屋としても仕事をしている私から見ると、装置が汎用的である点はすごくいいです。ワンタイムパスワードトークンを持たせるとか、装置が特殊で目ん玉飛び出るくらい高額なとか、そういった普及の足止めになる物理的な要素がないですから。
ただ今回のニュースはJCB社の決済で使うという話でした。IT業界の人という立場で言うと、人が死ぬシステムと金融系はガチガチに固く作らないといけないので、サービスリリースまでには時間がかかりそうな予感がします。
私個人としては、やっぱり生体認証は替えが利かないので、まだ一企業に安心して渡すことは躊躇われます。サービスが始まってもしばらくの間、利用することはないだろうなぁと思っています。
おわり