顔認識技術の台頭を回避するために顔をハッキングする方法

英国警察は、群衆制御や容疑者の所在特定に活用するため、物議を醸している新たな顔認識（FR）技術の実験を活発化させている。しかし、批評家たちは、この実験は失敗作だと批判し、高いエラー率とプログラムの高額なコストを指摘している。

情報公開法に基づいて公開された文書によると、両システムのエラー率が90パーセントを超えているにもかかわらず、サウスウェールズ警察とロンドン警視庁は、この技術の試験に合計で数百万ポンドを費やしていることが明らかになった。

世界中で同様の実験が行われており、サンフランシスコではプライバシー擁護団体が法執行機関によるFRの使用禁止を求めており、この技術をめぐる懸念が高まっている。

FRの潜在的な活用に関心を持っているのは警察だけではありません。ショッピングモールからスポーツ競技場まで、一般の人々にとって、この技術がいつ、誰によって、そしてどのような目的で自分を追跡するために使われているのかを知ることはますます困難になっています。FRは今のところエラーが発生しやすいかもしれませんが、この状況は長く続くとは思えません。

公共の場でのFRの使用に対する人々の許容度は、状況によって大きく異なるでしょう。例えば、大規模イベントで警察が群衆整理のためにFRを使用することには多くの人が抵抗を感じないかもしれませんが、スーパーマーケットの通路で人々を追跡し、ジャガイモのアップセルを狙うのに同じ技術が使用されることには抵抗を感じるかもしれません。

FRが社会で果たす役割は、おそらく何年もかかるであろう広範かつ複雑な議論を経て決定されるでしょう。その答えには、このような強力な技術がどのように使用されるかを制御するための何らかの規制が含まれることはほぼ確実です。

しかし、規制の厄介な歯車が動き出すまで、常に身元を明かされることなく公共の場を歩き回りたい人には、どんな選択肢があるのだろうか？

「使用されているテクノロジーの種類に応じて、FRを回避しようとする方法は多岐にわたります」と、ペンテスターでありプライバシー擁護者のリリー・ライアン氏は述べています。「最も効果的な方法を知るには、その裏側まで理解する必要があります。そして、一般の人にとって、特定の時点でどのようなFRが使用されているかを把握するのは非常に難しいのです。」

FRシステムに関する研究のほとんどは実験室環境で行われており、研究者は自分が扱っているFRシステムの種類を正確に把握し、多くの場合、その基盤となるコードやトレーニングデータにもアクセスできるため、システムを欺く上で大きなアドバンテージを得ることができます。これは「野外」ではまず手に入らないでしょう。現実世界では、FRは指紋や歩行分析などの他の生体認証と組み合わせられることもよくあります。ますます高性能化するAI技術の導入も、この分野に大きな弾みを与えています。

「ディープラーニングの統合後、FR技術は飛躍的に進歩しました」と、ノルウェー科学技術大学のクリストフ・ブッシュ氏は述べています。ブッシュ氏と彼の同僚であるラガヴェンドラ・ラマチャンドラ氏は、FRシステムを徹底的に研究し、この技術を欺く既知の方法の調査も行っています。

十分に高度なシステムに直面した場合、真に確実に身元確認を回避する方法は存在しないというのが現実です。しかしながら、現在実際に使用されている多くのFRシステムはそれほど高度ではなく、研究者やプライバシー擁護団体は、この技術を凌駕する方法を模索しています。

閉塞と混乱

FR を欺くテクニックは、大きく分けて閉塞と混乱の 2 つのカテゴリに分けられます。

オクルージョン技術は、顔の特徴を物理的に隠すことでカメラから見えなくする技術です。この技術の成功率は、顔のどの部分が隠されているか、そしてどの程度隠されているかによって決まります。

例えば、目、口、鼻といった顔の最も重要な特徴を露出させるバラクラバは、実際には人物特定を阻止する効果はあまりないかもしれません。研究者たちは、顔の主要な14のポイントを学習させたディープラーニングフレームワークを用いることで、部分的に隠れた顔であっても、ほとんどの場合正確に識別できることを発見しました。これには、眼鏡、スカーフ、帽子、つけ髭などが含まれます。

本当に極端に行きたいなら、スキーマスクは使わずに、他人の顔を3Dプリントしたモデルを使うのもいいでしょう。URME Personal Surveillance Identity Prostheticは、アーティスト、レオ・セルヴァッジオの顔を、髪の毛や肌の質感に至るまで3Dスキャンしたもので、非常に不安を掻き立てます。

一方、文字通りのアルミホイルの帽子がお好みなら、頭の上までジッパーで閉めて、まるで宇宙船としても使えるジャケット「Project Kovr」がお勧めです。

しかし、顔全体を隠すことはFRシステムによる本人確認を防ぐのに効果的かもしれませんが、目立たない状態とは正反対です。顔を完全に隠すことは、ヨーロッパ、カナダ、アメリカ合衆国を含む多くの地域で違法です。

たとえ技術的に許可されているとしても、SFのディストピアから逃げてきたかのような姿で道を歩くことよりも、警察は言うまでもなく、周囲の人々の注目を集める手っ取り早い方法は思いつきません。

コンピューターを混乱させる

遮蔽がせいぜい不確実で、最悪の場合、身動きが取れなくなる可能性がある場合、混乱が生じます。FRシステムの動作を停止させる最も簡単な方法の一つは、顔を見ていないと誤認させることです。

「顔検出段階を攻撃する場合、顔の線を崩して、そもそもシステムによって検出されないようにすることができます」とライアン氏は言う。

これがCV Dazzleの背後にあるアイデアです。CV Dazzleは、極端なメイクとヘアスタイルでコンピュータービジョンシステムを混乱させます。この手法（そしてジャガロメイクのような他の極端なメイク）は、光と闇を巧みに操ることで、コンピューターにとって顔が顔ではないように見えるようにすることで、コンピュータービジョンシステムを混乱させます。

「学術研究の観点から見ると、『メイクアップ攻撃』はますます注目を集めています。しかし、この種の攻撃を成功させるには、高度なメイクアップ技術が不可欠です」とブッシュ氏は指摘する。単にランダムにメイクを施すだけでは不十分で、システムを欺くためには、顔の重要なポイントを特定の方法で隠す必要がある。

ただし、ダズル方式は可視光を利用するシステムにのみ適用されます（また、一部のオクルージョン方式と同様に、公共の場で歩き回っている際に注目を集める可能性があります）。つまり、可視光ではなく赤外線を使用するAppleのFaceIDのような高度なシステムには適用できません。

「赤外線ビームを顔に反射させて顔の3Dマップを作成します。外見だけでなく顔の輪郭も考慮するため、検知を逃れるのがさらに難しくなります」とライアン氏は言います。「例えば、iPhoneは平面の印刷画像に騙されないので、輪郭が読み取れないという点で非常に役立ちます。」

赤外線ベースのシステムはCVダズルのような技術を透過できる可能性がありますが、他の種類の干渉に対しては脆弱です。赤外線には赤外線で対抗することが可能です。

2018年、中国の復旦大学、香港中文大学、インディアナ大学、そしてアリババ社の研究者たちは、野球帽の内側に配線された微小な赤外線LEDアレイを用いて、着用者の顔に光の点を投影する実験を行いました。これらの点は人間の目には見えませんでしたが、コンピュータービジョンを混乱させ、顔を識別不能にしました。

しかし研究者たちは、着用者の身元を隠すだけでなく、コンピューターに全く別の人物だと認識させることもできることを発見した。LEDを用いることで、研究者たちはテストの70%において、FRシステムを欺いて同僚をモビーだと認識させることに成功した。

期待を利用する

メイクやLEDが変装だとすれば、HyperFaceのカモフラージュは注意をそらすためのものです。システムが顔を検出できないようにするのではなく、過剰な数の顔を認識させることでシステムを圧倒することが目的です。このパターンは、スカーフやイヤリングなど、人の顔に近づけて着用できるものなら何にでも印刷できます。

FRシステムは、特定の明暗パターンに基づいて顔を検出します。HyperFaceカモフラージュは、コンピュータービジョンでは顔のように見えても、人間の目には見えないような明暗パターンを模倣します。HyperFaceの目標は、FRシステムにとってあなたの実際の顔を干し草の山の中の針のように見せかけながら、周囲の人々にとっては比較的目立たないようにすることです（ただクールなスカーフを巻いている程度です）。

「言い換えれば、コンピュータービジョンアルゴリズムが顔を予測しているなら、その予測を利用するということです」とHyperFaceの開発者は述べています。しかし、現段階では、このプロジェクトはまだプロトタイプに過ぎません。

内蔵バイアス

意図的に技術を欺こうとするのは一つのことですが、意図しないエラーに見舞われるのは全く別の話です。現実世界でテストされた多くのFRシステムは、驚くほど不正確であることが証明されています。例えば、2017年にウェールズで開催されたUEFAチャンピオンズリーグ決勝週に警察が試験運用したシステムによる判定は、92%が誤りでした。

FRシステムはしばしば不正確であるだけでなく、人種や性別によって偏りが生じる可能性があります。MITメディアラボのジョイ・ブオラムウィニ氏をはじめとする研究者は、企業が多様な顔を認識できるように技術を訓練していないと批判しています。

「残念ながら、FR を混乱させる原因の多くは、これらのシステムがトレーニングされるデータにあまり含まれていない人口統計上の人々であることがわかっています。その結果、肌の色が白くなかったり、男性らしくない人々になってしまうことが非常に多いのです」とライアン氏は言います。

「ですから、確かにこの技術を騙そうとするのは楽しいですが、特に法執行の場では、他人と間違えられた場合、非常に深刻な結果を招く可能性もあります。」

しかし、長期的には状況は変化するでしょう。FR試験における高いレベルの不正確さは、長くは続かないでしょう。「新たなディープラーニング技術、ソーシャルメディアを通じた大規模な顔画像の利用可能性、そしてGPUによる計算リソースの進歩により、顔認識システムの認識性能は大幅に向上しました」とブッシュ氏とラマチャンドラ氏は述べています。

この技術は、政府と民間企業の両方から莫大な資金が投入されたおかげで、特に急速に発展しています。彼らは科学研究のために資金を投じているのではなく、この技術を活用する計画があるからこそ投資しているのです。

日常生活のあらゆる場面でFR（近距離無線通信）の利用が進むにつれ、それに伴う懸念はより深刻化しています。認識を回避する方法は、特にFRが他の生体認証方法と組み合わせられる場合、せいぜい一時的な解決策に過ぎません。

FRを取り巻く問題に対する真の解決策とは？テクノロジーコミュニティが他の業界やセクターと協力し、公共空間におけるセキュリティとプライバシーの適切なバランスを実現することです。

この記事はWIRED UKで最初に公開されました。