「小学生」は荷物受け取りのためのFengchaoの顔スキャンシステムを解読できるのか？

資金が足りない、2Dで補う？ 先日、Fengchaoのスマートエクスプレスロッカーが「小学生」によって印刷された写真を使って破られ、皆を驚かせた。

[[279632]]

人民日報によると、上海外国語大学嘉興校秀州外国語学校402期生の科学チームが都市特急「好奇心実験室」に報告した。彼らは課外科学実験で、実際の人物の顔の代わりに印刷した写真を使ってコミュニティ内の鳳潮スマートロッカーを騙し、最終的に親の荷物を取り出すことができることを発見した。

その後、子どもたちは自分たちの主張を証明するためにいくつかのビデオも送ってきました。

[[279633]]

さらに、メトロポリスエクスプレスの記者も個人的に検証し、実際に自撮りで開封を完了しました。

[[279634]]

さらに記者は隠し撮りした写真でテストし、荷物の取り出しに成功した。

その後、@丰巢智能柜公式Weiboも反応した。最近受け取ったピックアップに関するフィードバックについては、検証した結果、このアプリケーションは試用運用のベータ版であるため、小規模なテストを実施中です。一部のユーザーから親切なフィードバックをいただき、できるだけ早くオフラインにしました。改善後の関連アップデートについては、Fengchao の発表にご注目ください。皆様のご支援とご激励に感謝申し上げます。

なぜこのような問題が発生するのかは、顔認識から始まる。人民日報は、ハニカム顔認識システムが印刷された写真で簡単に「騙される」のは、顔を合わせる際に、よりセキュリティレベルの高い3D顔認識や生体検知技術ではなく、2D認識を使用しているためだと報じた。

スマートサービスを提供する企業としては、ベータ版は一般の人には信じがたいものかもしれない。結局、これは2D認識技術自体の問題だ。テストには2D認識を使い、オンラインテストには3Dテストを使うつもりなのだろうか？

そこでネットユーザーたちは、当初この技術をオンラインで使用することを計画していたが、小学生のグループによって発見されたのではないかと推測した。

少し前に流行した顔認識アプリケーションZAOと相まって、多くの読者に「顔認識認証」に対する懸念を引き起こし、侵害、プライバシーの安全性、情報セキュリティのリスクをもたらす可能性があります。

当時、アリペイは、アリペイの「顔決済」は3D顔認識技術を採用していると回答した。顔を変えるソフトウェアは数多くあるが、どれほどリアルでも顔決済を突破することはできない。

顔認識、3D テクノロジー、ディープラーニングは無敵でしょうか?

顔認識の発展に伴い、反顔認識も発展しています。その中でも、ディープラーニング顔認識システムの欺瞞は一般的に電子敵対サンプルを使用しており、主にシステムの安定性をテストするために使用されます。

しかし、この方法はオンラインの顔認識モデルやAPIのみを攻撃することができ、実際のオフラインの顔認識のシナリオでは使用できません。実用的な「顔認識防止」効果はないため、多くの研究者は依然としてカメラベースの顔認識に対抗するために「外部機器」に焦点を当てています。

2013年1月、国立情報学研究所の日本の研究者らは、近赤外線を使って顔の下部を顔認識ソフトから見えなくする「プライバシーゴーグル」というメガネを開発した。

最新バージョンでは、チタン製のフレーム、反射材、角度とパターンを利用してバックライトを吸収・反射し、顔認識技術を妨害するマスクが採用されています。

2016年12月、シカゴのカスタムアイウェアメーカー、スコット・アーバン氏は、「リフレクター」と呼ばれるカメラ防止・顔認識機能付きサングラスを発明した。これらは赤外線とオプションの可視光を反射し、ユーザーのカメラに向かって白いぼやけた画像を残します。

今年8月には、モスクワ国立大学とファーウェイ・モスクワ研究センターの研究者らも、AI顔認識に対する新たな攻撃方法を発見した。普通の印刷用紙1枚を使うだけで、携帯電話や入退室管理、決済などで広く使われている顔認識システムが突然、信頼できなくなる可能性がある。

この新たな研究では、科学者は普通のプリンターを使って模様のついた紙を印刷し、それを額に貼り付けるだけで、業界をリードする公共の顔認証システムに認識エラーを起こさせることができる。これは、AIアルゴリズムが現実世界で攻撃を実行できる初めてのケースである。

メモが添付されると、システムは Person_1 を「0000663」や「0000268」などの他の人物として認識します。

さらに、顔認証を初めて商用製品に適用したAppleも、多くの顔認証攻撃に遭遇しています。昨年11月3日、AppleはiPhone Xをリリースし、顔認証によるロック解除技術を初めて導入した。

同時に、同社の未来的な最新技術を最初に解読しようとするハッカーたちの間で、世界規模の競争も引き起こした。

わずか1週間後、地球の反対側にいるハッカーたちは、ある人物の顔をコピーすることに成功し、誰のiPhone Xでも簡単にロックを解除できるようになったと発表した。彼らが使った手法は、セキュリティ研究者が研究した方法よりもさらに単純なものかもしれない。

「たった150ドルでiPhone Xの顔認識を破るマスクを作りました」

ベトナムのサイバーセキュリティ企業Bkavが公開したブログ記事と動画によると、3Dプリントしたプラスチック型、シリコン、化粧品、簡単な紙切りで作ったマスクを使って、iPhone Xを簡単に騙し、フェイスロックを破ったことが分かった。

クラッキングのプロセスはまだ他のセキュリティ研究機関によって確認される必要があるものの、このクラッキング方法はiPhone Xの最も高価なセキュリティ保護を破るものとなっている。ベトナムのセキュリティ会社の研究者がこのクラッキングマスクを作るために使ったのはたった150ドルだけであることは特筆に値する。

しかし、今のところ、このクラックは概念実証に過ぎません。普通の iPhone 所有者にとっては、当面は慌てる必要はありません。なぜなら、クラックのプロセスには長い時間と多大な労力がかかり、クラックマスクを作るために iPhone 所有者の顔にアクセスする必要があるからです。

同時に、Bkavはブログ投稿で「Appleのセキュリティ識別作業は十分に行われておらず、フェイスロックは偽造マスクに騙される可能性があるため、効果的なセキュリティ保護メカニズムではない」と率直に強調した。

画像列 1: 特殊加工された部分、画像列 2: 2D 画像、画像列 3: シリコン製の鼻、画像列 4: 3D プリントされたフレーム。

YouTubeに投稿された動画には、同社の従業員がiPhone Xの前のスタンドの布をめくり、iPhone Xに向かってマスクを露出させ、瞬時にiPhoneのロックを解除する様子が映っている。

この携帯電話は複雑な3D赤外線撮影プログラムを通じて所有者の顔画像を記録し、人工知能によってモデル化されているが、研究者らは比較的単純なマスクを作るだけで携帯電話のロックを解除することに成功した。つまり、ロック解除する所有者の顔のデジタルスキャンに基づいて3Dプリントされたプラスチックフレームに、彫刻されたシリコン製の鼻と紙に印刷された2次元の目と唇を取り付けたものである。

しかし研究者らは、この技術には対象となるiPhone所有者の顔の詳細な測定やデジタルスキャンが必要であることを認めている。研究者らはまた、ハンドヘルドスキャナを使用して被験者の顔を5分以上スキャンする必要があると述べた。

つまり、実際の使用時には、iPhone X の所有者全員が簡単にロック解除されてしまうという問題に直面するのではなく、慎重に計画した後にのみ対象の電話のロックを解除できることになります。

ディープフェイクはマスターキーになり得るか？

ディープフェイクとは、本質的には、AI ディープラーニングを使用して、写真に写っている人物の顔を別の人物の顔に置き換える技術です。

この技術により、非常にリアルな「偽の」ビデオや写真を作成できるため、「フェイススワッピング」という名前が付けられています。

少し前に「ZAO」と呼ばれる顔を変えるアプリがソーシャルメディア上で一夜にして人気を博したが、著作権侵害やプライバシー保護、情報セキュリティのリスクも引き起こした。

当時、アリペイは次のように反論した。「アリペイの『顔決済』は3D顔認識技術を採用している。顔を変えるソフトウェアは数多くあるが、どれほどリアルでも顔決済を突破することはできない。」

WeChat Payは顔認証決済もサポートしています。WeChatはまた、WeChatの「顔認証決済」は3D、赤外線、RGBなどのマルチモーダル情報を総合的に使用しており、ビデオ、紙、マスクなどからの攻撃に効果的に抵抗できると述べています。

生体検知は、写真やマスクによる顔認証の誤認を効果的に防ぐことができます。そのため、さまざまなセキュリティ認証に顔認証を使用する場合、ユーザーに瞬きや首を振ってもらうように依頼しています。

今年8月、厦門晩報は、恋人を殺害したボーイフレンドの事件を報じた。彼は遺体の処理と逃走中に恋人の携帯電話を取り出し、恋人の身分を利用してオンラインで小額融資を申請しようとした。

彼はオンラインローンアプリをダウンロードし、手順に従って恋人の身分証明書の写真を撮ってアップロードし、恋人の体を持ち上げて携帯電話のカメラで「顔認証」を実行したが、システムが瞬きを促したため諦めざるを得なかった。

その後、システムは異常を発見した。7秒間の「生体認証」段階で、ローン申請者は瞬きを一切せず、音声認証では男性の声だったため、ローン申請者の性別と一致しなかったため、手動審査に移行した。

職員は写真と生体認証ビデオで、ローン申請者の首に赤茶色の跡があり、目は焦点が合っておらず、顔には紫色のあざがあることを発見した。職員はローン申請者が殺害されたと疑い、すぐに警察に通報した。

特徴抽出からディープラーニングまで、顔認識の数十年にわたる開発

最後に、顔認識の発展の歴史を振り返ってみましょう。

2018年10月、英国ハートフォードシャー大学とGBG Plcの研究者らは、さまざまな従来の方法と現在主流となっているディープラーニングの手法を網羅し、顔認識の手法を包括的に整理してまとめたレビュー論文を発表しました。

論文リンク: https://arxiv.org/pdf/1811.00116.pdf

最初の顔認識アルゴリズムは 1970 年代初頭に誕生しました。指紋認識と虹彩認識はより正確ですが、使用にはより高い要件があります。たとえば、指紋認識ではユーザーがセンサーに指を押し付ける必要があり、虹彩認識ではユーザーがカメラに非常に近づく必要があり、音声認識ではユーザーが大声で話す必要があります。

対照的に、最新の顔認識システムでは、ユーザーがカメラの視野内にいることだけが求められます（カメラから適切な距離にいることも前提としています）。

これにより、顔認識は最もユーザーフレンドリーな生体認証方法となります。これは、監視システムなど、ユーザーがシステムと協力することを想定していない環境にも導入できるため、顔認識の潜在的な用途が広がることも意味します。

顔認識システムは通常、次の構成要素で構成されます。

検出。顔検出器は、画像内の顔の位置を見つけるために使用され、顔がある場合は、各顔を含む境界ボックスの座標を返します。

アライメント。顔の位置合わせの目的は、画像内の固定位置にある一連の参照ポイントを使用して、顔画像を拡大縮小およびトリミングすることです。

このプロセスでは通常、ランドマーク検出器を使用して顔のランドマークのセットを検索するか、単純な 2D アライメントの場合は、参照ポイントに最も適合する最適なアフィン変換を検索する必要があります。

より複雑な 3D アライメント アルゴリズムを使用すると、顔の正面化、つまり顔の姿勢を正面に調整することもできます。

表現。顔表現段階では、顔画像のピクセル値が、テンプレートとも呼ばれるコンパクトで識別可能な特徴ベクトルに変換されます。理想的には、同じ被写体のすべての顔が類似の特徴ベクトルにマッピングされる必要があります。

マッチ。顔照合ビルディング ブロックでは、2 つのテンプレートを比較して、同じ被写体に属する可能性を示す類似度スコアを生成します。

ディープラーニングが登場する前、顔認識方法は一般的に、高次元の人工特徴抽出（例：LBP、ガボールなど）と次元削減の2つのステップに分かれていました。代表的な次元削減方法には、PCA、LDAなどの部分空間学習法や、LPPなどの一般的な学習法があります。

ディープラーニング手法が普及して以来、代表的な手法は、元の画像空間から識別的な顔表現を直接学習することです。

現在、顔認識に最も一般的に使用されているディープラーニング手法は、畳み込みニューラル ネットワーク (CNN) です。

ディープラーニング手法の主な利点は、大量のデータを使用してトレーニングできるため、トレーニング データの変動に対して堅牢な顔の表現を学習できることです。

このアプローチでは、クラス内のさまざまなタイプの違い (照明、ポーズ、表情、年齢など) に対して堅牢な特定の機能を設計する必要はなく、トレーニング データからそれらを学習できます。

主な欠点は、トレーニングに非常に大きなデータセットが必要であり、これらのデータセットには、未知のサンプルに一般化できるほど十分なバリエーションが含まれている必要があることです。

ただし、大規模な自然な顔画像を含むデータセットがいくつか公開されており、CNN モデルのトレーニングに使用できます。

ニューラル ネットワークは、識別機能を学習するだけでなく、次元を削減し、分類器としてトレーニングしたり、メトリック学習方法を使用したりすることもできます。 CNN はエンドツーエンドのトレーニング可能なシステムと見なされており、他の特定の方法と組み合わせる必要はありません。

顔認識用の CNN モデルは、さまざまな方法を使用してトレーニングできます。その 1 つは、問題を分類問題として扱うことです。この場合、トレーニング セット内の各対象はクラスに対応します。

トレーニング後、分類レイヤーを削除し、前のレイヤーの特徴を顔の表現として使用することで、モデルを使用してトレーニング セットに存在しない被写体を認識できます。ディープラーニングでは、これらの特徴はボトルネック特徴と呼ばれることがよくあります。

この最初のトレーニング フェーズの後、他の手法を使用してモデルをさらにトレーニングし、ターゲット アプリケーションのボトルネック機能を最適化できます (Joint Bayes の使用や、異なる損失関数を使用して CNN モデルを微調整するなど)。

顔の表現を学習するもう 1 つの一般的なアプローチは、ペアになった顔または顔のトリプレット間の距離メトリックを最適化することによって、ボトルネック機能を直接学習することです。