Webサイトのボット排除でお馴染みの「reCAPTCHA」が、ついにカメラの前で手を振ることを求め始める。Googleが水面下でテスト中の新認証システムだが、安全性の要となるはずの技術が、早くも破られた。
仕組みは至ってシンプルだ。認証が始まるとブラウザがカメラへのアクセスを要求し、ユーザーに特定のジェスチャーを促す。Googleの機械学習システムがその様子を数秒間録画し、指の関節など21箇所の座標データを抽出して人間かどうかを判定する流れだ。従来の面倒な画像選択から解放される、直感的なアプローチである。
気になるプライバシーについて、Googleは動画を個人と紐付けず、音声も録音しないと説明。認証完了後は動画を削除するとしているものの、プライバシーポリシーに従って保存するという一文もあり、データの扱いにはやや不透明さが残る。
しかし、最大の問題は防衛力の低さだ。海外の報道によると、テスト担当者はすでにこのシステムを回避する方法を発見したという。驚くべきことに、仮想カメラソフトを使い、手を振る人物のシンプルなストック画像を映しただけで認証をパスしてしまった。高度な3D生体検知が行われているわけではなく、単に二次元的な動きのパターンを見ているだけの脆さが露呈した格好だ。
利便性とセキュリティの両立を狙った新たな試みだが、画像一枚で騙せる現状では、bot対策としての実用化は遠い。ディープフェイクが高度化する今、動画ベースの認証にはより厳格な偽装防止策が不可欠。Googleがこの致命的な穴をどう塞いでくるか、今後の開発動向を注視したい。
Source:Tom’s Hardware

