顔認証闇市場：実在人物認証ビデオは1セット100元、アプリで検証可能

「1セット100元で、身分証明書の表裏の写真、身分証明書を持っている写真、うなずいたり首を振ったり口を開けたりする動画が含まれています。」一部のソーシャルプラットフォームやウェブサイトでは、多くの販売者が顔認識ビデオの価格を明記しており、販売している認証ビデオがほとんどのAPPプラットフォームの認証プロセスを通過できることを保証しています。

3月30日から4月5日まで、北京新聞の記者は、こうした闇取引のほとんどがQQグループや海外のウェブサイトに隠されていることを発見した。QQグループの名前には「顔認識」や「認識技術」などのキーワードが含まれていることが多く、購入者が関連情報を検索しやすくなっている。

APPプラットフォーム上の顔認証闇市場では、1セット数百元の認証ビデオが「高価格・高品質」の商品とみなされている。これは、実際の人物が撮影した動画像認証ビデオを使用しており、認証通過率が比較的高いためである。動画像ソフトウェアを使用して顔写真を「動画像」に変換し、「プラグイン」ソフトウェアを使用して認証するという安価な顔認証方法もある。

「安いセットなら数元で、需要が高ければ1セット0.5元くらいになることもある」とある販売者は言う。動的顔認証の成功率は主に写真の動的処理の詳細度に依存するが、実際の人が撮影した動画なら間違いなく100％合格できるという。

顔認識情報の売買について、北京雲家法律事務所の弁護士、趙占玲氏は、民法によれば、国民は個人情報に対する公民権を有しており、他人の情報を本人の同意なく違法に収集・販売することは民事上の不法行為となると述べた。人物の顔特徴情報は、特定の自然人の真正な身元を直接識別できる情報であり、個人情報に該当します。個人情報が利用者の同意なしに売買された場合、違法または犯罪の疑いがあります。

QQグループでは、「顔認証」というキーワードを検索すると、闇取引を行っているグループが多数出てきます。スクリーンショット

「時代の流れに合わせる」闇取引

張さんがWeiboに登録し、顔認証を行ったところ、身分証明書の情報がすでに登録されていると表示されたが、張さんはこれまでWeiboをダウンロードしたり、使ったりしたことはなかった。

張さんはWeiboのカスタマーサービスに問い合わせたところ、Weiboに登録するために顔をスキャンした際に「このIDカードは他のアカウントに紐付けられています」または「IDカードは回数だけ使用されています」というメッセージが表示されるのは、IDカードが他のアカウントに紐付けられているためだと分かった。現在、1つのID番号は2つのWeiboアカウントに紐付けられます。ID番号に紐付けられるアカウント数が上限に達すると、現在のID番号は認証に使用できなくなります。

「私の情報が漏洩したに違いない」張さんは、普段は個人情報の保護にもっと気を配っているという。学校に行くとき、就職するとき、銀行カードや電話カードを申し込むとき、ホテルに泊まるとき、電車の切符を買うときなど、身分証明書を使ったことは一度もない。

張さんの経験は珍しいことではない。多くのネットユーザーが、Weibo、QQ、公開アカウントなどに登録した際に個人情報が盗まれたと投稿している。

個人情報が悪用される事例が増えるにつれ、ネットワーク関連のフィードバックや苦情も増加しています。その結果、主要なAPPプラットフォームは、セキュリティ検証方法として動的顔認識を使用して、セキュリティ検証をアップグレードしました。 APPプラットフォームのセキュリティ検証のアップグレードと反復の過程で、このブラック産業チェーンの実践者も抜け穴を利用して、この「ジレンマ」をいかに解決するかに「焦点を当てて」います。インターネット実名制の発展とともに出現したこの闇産業の利益連鎖も、単に名前や身分証明書番号を収集して販売するだけでなく、身分証明書を持った人物の写真、顔動画、写真の動的処理ソフトを収集して販売するなど、レベルアップしている。

ダークウェブで個人情報を販売している闇市場の売り手は、身分証明書の表と裏の写真、身分証明書を持っている人の写真、うなずいたり首を振ったりしている人の動画のセットが100元だと語った。数量が多い場合は割引があり、100セットを一度に購入すれば、1セットあたり10元に値下げできる。「数量が少なければ、本当に安くはなりません。この情報収集のコストも高いのです。」

すると相手側は、他人が撮影した、口を開けたり、瞬きしたり、うなずいたり、首を振ったりする動画2本を送りつけ、「これらは実際の人間が撮影した動画であり、ほとんどのアプリに問題がないことが確認でき、写真から加工した動的な動画よりも合格率が高い」と主張した。

1,700人を超えるQQグループでは、顔認識認証技術を購入するために毎日新しい人が参加しています。スクリーンショット

実生活検証動画のほとんどは「オンラインアルバイト」からのもの

闇市場の売り手数人は、融資や歩いてお金を稼ぐアプリを開発し、ユーザーがアプリをダウンロードして登録した際に収集した情報を販売していると語った。「大半は工場労働者で、一部はパートタイムのネットワークワーカーだ」

しかし、これらのパートタイムのオンライン注文処理作業員は、APP 認証の注文を処理する際にプライバシーが漏洩することに気づいていません。

山西省出身の白さんは北京新聞の取材に対し、半年前からブラッシングの注文などのオンラインのアルバイトを始めたと語った。注文の量が限られていることもあるので、APP認定の注文もいくつかこなすという。

白氏によると、これらの注文では、相手側が提供したQRコードをスキャンしてアプリをダウンロードし、実名認証を行う必要があるという。実名認証プロセスのほとんどは、登録が成功したと見なされる前に、身分証明書の表裏の写真をアップロードし、顔認識を行う必要がある。 1回の注文の費用は5元から15元の範囲です。複雑な要件のある認証の場合は、費用が少し高くなる場合があります。

発注のアルバイトでは、名前と身分証明書番号のアップロードのみで済むものもあり、1件の発注につき3元の費用がかかる。顔認証の場合は10元以上かかる場合もある。白氏は、一部のアプリが顔認証を行う際、ユーザーがまばたきをしたり、首を激しく振ったり、顔を近づけたりすると、認証が通りやすくなると述べた。

「こんな風に個人情報を収集する人がいるとは思いもしませんでしたし、顔認識のために動画を収集する人がいるなんて聞いたこともありません」と白さんは言う。この手のアプリへの登録の依頼を受け始めた当初は、本人確認や顔情報の検証にためらいがあったが、その後、グループ全員が依頼を受けており、問題があったという声も聞こえなかったため、この仕事を始めたという。

パートタイムのオーダーブラッシング認証によってデータ漏洩が発生することはまれであると考えられます。メディアの報道によると、個人情報データ漏洩の80％は企業の内部従業員によって引き起こされているそうです。

多くの違法取引業者もこの意見に同意している。ある業者は、現在市場に流通している身分証明書の写真のほとんどは、マイクロローンのプラットフォームや企業が乱立していた時期に流出したもので、一部はさまざまな業界から収集されたものだと明かした。こうした情報の取引や使用は、通常、他人に発見されることはない。「当時、多くの人が借金をして返済しなかったため、プラットフォームはこの情報を抜き取って金銭で売った。最初はかなり高価だったが、さまざまなレベルで転売されて今では安くなっている」

また、アプリの日常的な利用や店舗の入退店などでも顔情報の認識と収集が求められるようになり、顔認識技術の開発やシステムテストの名目で情報を収集する人もいます。

北京新聞の記者は、インターネット上で情報収集員を募集する情報が投稿されているのに気づいた。仕事内容は、地方に出向いて身分証明書や顔情報を収集し、食用油や鍋などの日用品をプレゼントするというものだ。

ブラックマーケットの商人が販売する顔認識検証パッケージ。ソフトウェアとチュートリアルが含まれています。スクリーンショット

ブラックマーケットサークルの「4点セット」

実際のビデオ録画と比較すると、ソフトウェアを使用して写真の顔を動的に処理し、検証ビデオを作成する方がコストがかかりません。

3月31日、北京新聞の記者はQQグループを条件別に検索した。検索ボックスに「顔認識」「認識技術」などのキーワードを入力すると、関連するQQグループが多数表示された。記者はランダムに6つのQQグループに参加し、これらのグループのメンバー数は100人以上から1,700人以上に及び、随時新しいメンバーが参加していることを発見した。

QQグループでは、WeChatアカウントの販売や顔を変えるソフトウェアに関する情報がよく投稿されています。同時に、写真のキャラクターをアニメ化したり、顔認識で認証したりする方法を尋ねる人もいます。

さらに、北京新聞の記者が顔認識技術とソフトウェアを購入したいという名目でグループに参加した後、数人の闇情報密売人が3時間以内にその記者を友達として追加し、ニーズを把握した。

これらの闇市場の販売業者は、写真の切り抜きや動的処理のためのソフトウェアを販売しており、写真に写っている人物に口を開けさせたり、瞬きさせたり、首を左右に振らせたり、上下にうなずかせたりできるという。その後、特定の携帯電話に「プラグイン」を取り付けて顔認証を行う。「WeChat、QQ、Momoの認証によく使われますが、他のソフトウェアでも顔認証は使えます」

3月31日、違法行為を行っている商人が自身のQQスペースに、WeChatのセキュリティ認証のアップグレードにより、一時的に顔認証認証に合格できず、解決策を検討中であるとのメッセージを投稿した。 4月3日、同社は新たなセキュリティ検証を乗り越え、注文を受け付けることができると発表した。

さらに、これらの商人は身分証明書の表裏の写真、身分証明書を持っている人の写真、顔写真なども販売しており、これらは闇市場では一般に「4枚セット」と呼ばれている。1セットの価格は0.5元から3元の範囲である。

これらの身分証明書用写真の出所について尋ねられると、商人たちは会話の中で慎重になった。最後に、北京ニュースの記者は、4点セットに関する情報の需要が非常に高いと述べ、売り手は、これらを収集する専門の担当者がいて、他の人から購入して販売したこともあると語った。

違法な販売者が販売する個人情報には、ID番号や写真などが含まれます。スクリーンショット

顔認識用のオープン「プラグイン」ソフトウェア

実在の人物のビデオ録画でも、動的な写真処理でも、APP 顔動的検証を完了するための重要なツールは、携帯電話とプラグイン ソフトウェアです。

北京ニュースの記者が闇市場の売り手に質問したところ、中古取引プラットフォームから特定ブランドの中古R9スマートフォンを200元以上で購入し、フラッシュパッケージをスマートフォンに埋め込むことができることがわかった。

一部の APP プラットフォームでは、顔認識検証プロセス中に画面が赤、黄、青に変わり、顔の明るさを検証しますが、関連するプラグイン ソフトウェアを使用して検証を完了することもできます。

「携帯電話をフラッシュさせる目的は、携帯電話の操作に対するより多くの許可を得ることです。」写真を動的に処理し、顔認識によって認証するという原理について、2人のブラックマーケットの売り手は、アプリが顔認証のためにカメラを使用する必要があるときは、手でカメラを覆うと、携帯電話の「プラグイン」が起動し、関連データと設定を変更することで、事前に準備された動的な顔のビデオがアプリにインポートされ、認証が完了すると述べました。

「実際の人が撮影した動画の合格率は間違いなく高いです。写真の加工に関しては才能次第です。すべての検証に合格する保証はありません。制作したダイナミックな顔の動画が詳細であるかどうかにかかっています。最初の検証に失敗しても、数回検証すれば、後で合格する可能性があります。」ある闇市場の売り手は、他人の情報を盗んでAPPアカウントを登録・検証するのは違法行為であり、国の取り締まりが非常に厳しいため、ソフトウェアと教育のみを販売し、直接運営はしていないと語った。

北京新聞の記者は違法販売者の指示に従い、500元以上を費やしてAndroidスマートフォンと動態処理ソフトウェアとチュートリアルのセットを購入した。違法販売者はまた、身分証明書の表裏の写真と身分証明書を持っている人物の写真30セットも同封していた。

実際の体験では、闇市場の売り手によると、あるブランドのR9携帯電話をフラッシュした後に使用し、処理されたダイナミックな顔のビデオをこの携帯電話に保存し、アプリを開いてカメラを物体で覆い、カメラを黒い画面状態にすると、セキュリティ検証に合格できるそうです。

北京新聞の記者はこの方法を使い、TantanやZhaopin.comなどのプラットフォームで顔認証に合格した。

タンタンのカスタマーサービススタッフは北京新聞の記者に対し、認証のために個人情報が盗まれたことが発覚した場合、ユーザーはそれを発見した後にのみプラットフォームに報告できると語った。その後、ユーザーは自分の個人情報をプラットフォームに提供して審査を受ける必要がある。審査に合格すると、プラットフォームは認証されたアカウントを禁止する。 Tantanプラットフォームの顔認識認証の脆弱性に関しては、上司に状況を報告する予定です。

Zhaopin.comやMomoなどのプラットフォームのカスタマーサービススタッフは、現時点では偽の顔認識に対する良い対策はなく、今後フィードバックを提供し、状況に対処すると述べている。

闇市場の業者は、実在の人物の顔認識ビデオを1セット150元で販売していた。スクリーンショット

弁護士：顔情報を個人的に販売することは違法

個人情報が売買され、不正に利用されるケースは数多くあります。

中国判決オンラインの顔認証認証に関する刑事判決によると、2018年7月から、被告の張氏と于氏らは、営利目的で購入した国民の個人情報を利用してアリペイアカウントを登録し、ソフトウェアを使用して国民の顔写真を国民の3Dアバターに変換し、アリペイの顔認証を通過していた。

こうすることで、Alipay が新規 Alipay ユーザーを登録に招待した際に提供する対応する紅包特典 (新規ユーザー招待紅包、一般消費紅包、華北紅包など) を獲得でき、新規 Alipay ユーザー 1 人あたり少なくとも 28 元の特典を獲得できます。事件発生時点で、この犯罪グループは国民の身元情報約2000万件を違法に収集し、他人の個人情報を利用して顔認証に合格した実名アリペイアカウントを少なくとも547件登録し、4万元の利益を上げていた。

北京雲家法律事務所の趙展玲弁護士は、人の顔の特徴情報は特定の自然人の真の身元を直接識別できる情報であり、個人情報の範疇に入ると述べた。ユーザーの同意なしに個人情報を売買することは違法行為であり、犯罪行為にさえなり得る。

民法によれば、国民は個人情報に対する公民権を有します。他人の情報を本人の同意なく違法に収集し販売することは、民事上の不法行為となります。また、「刑法改正案（第９号）」では、国民の個人情報を侵害する罪を規定している。機微な個人情報の売買量が一定水準に達し、両高裁の司法解釈で定められた起訴基準を満たせば、刑事犯罪の疑いがある。この過程では、買い手と売り手の双方が国民の個人情報を侵害する犯罪を犯した疑いがある。

自然人の個人情報が他人によって不法に売買され、違法行為や犯罪行為に使用された場合でも、その自然人はこれに対して一切の法的責任を負いません。ただし、個人情報が他人によって不法に取得され、悪用されたことを証明する証拠が必要です。個人情報に関わる刑事事件は多く、公安機関は毎年、国民の個人情報を侵害した容疑者を多数逮捕している。

北京ニュース記者 劉明陽