顔認識アルゴリズムを突破するには、どれくらいの変装・メイク・整形が必要?

生体認証データ。顔、指紋、虹彩など、私たちが持って生まれた体は、個人を認識、特定するための情報となります。その中でも最も広く、収集、使用されているのは、きっと顔認証。カメラとAIモデルがあれば導入可能で、昨今、空港のセキュリティからモールの入り口まで、日常のありとあらゆるところにカメラが設置されています。

もし自分の存在を、このカメラ、つまり顔認証技術から隠したいと思ったらどうしたらいいのでしょう。サングラスや帽子、マスクで顔を隠せば、顔認識アルゴリズムを出し抜けるのでしょうか。顔の作りがどこまで変わると認識されなくなるのでしょうか。

米Gizmodo編集部が、専門家に訊いてきました。


(デューク大学で、生物統計学&バイオインフォマティクス、数学、統計科学、コンピューターサイエンスなどの部門で特任教授を務める)

現実的な話、最先端の顔認識を騙せるほど顔を変えることはできないと思います。コロナ禍の間に、顔認証システムは、目の形に注力するものに変更されました。これは、マスク着用で鼻や顔が隠れていたからです。

目の形って、簡単には変えられません。ただ、例えば、サングラスをしたうえで顔に細工をする(派手なメイクなど)をすれば、認識するのは難しくなるでしょう。が、これは質問の本筋ではないかもしれません、顔を変えるのではなく隠しているだけなので。

隠すのではなく顔を変える。それも、顔認証されないほど劇的に…。たぶん、整形が必要になるでしょう。ただ、整形しても、その顔をまたカメラがとらえ、あなたの名前と紐付けるだけ。つまり、また新しい顔で認証されるだけにすぎません。

そのうえ、免許証やパスポート写真の顔と今の顔が変わるので、面倒臭いことだらけ。生体認証データをとられないよういくらがんばったところで、無利益ですね。常に劇的に顔を変え続けるより、生体データとプライバシを保護するよう政府にはたらきかける方が簡単だと思います。

(ノートルダム大学コンピューターサイエンス&エンジニアリング教授)

個人がどこまで顔を変えたら顔認識されないのかという質問の答えは、顔認識アルゴリズムがどう使われているか次第です。人間の生体認証では、一般的に2つの特定タイプがあります。1対1と1対多です。

1対1モードでは、カメラにうつる自称〇〇が、システムのデータベースに過去に登録された〇〇の画像と一致するかどうかによって認証されます。セキュリティの高いコンピュータ認証や警察による操作などで、長い間、この方法が使用されてきましたが、現在では空港の搭乗など消費者にとっても一般的なものになっています。

一方、1対多モードでは、誰かの写真が、以前登録されている当てはまりそうな人のデータセットと照合されます。これは、警察や政府含む、動画監視カメラの設定でよく使われています。

1対1モードを突破するのは非常に難しいでしょう。複雑な人工ニューラルネットワークを使った顔認証アルゴリズムの進化は目覚ましいものがあり、かなり広い幅で高確率で個を特定することができるからです。登録された画像が正面からのポーズ(適切な照明、自然な表業、背景に埋もれていない)なら、メイク、髭や髪の毛などで誤魔化すのも不可能です。また、最近の顔認証と整形に関するレポートによれば、悪趣味レベルで劇的に顔を変えない以上、一般的な美的整形では大きな影響はありません。

一方、撮影状況をコントロールできない監視カメラのような1対多モードの場合は、顔認証をごまかすのも比較的簡単になります。整形の必要もありません。今現在で最高のニューラルネットワークをもってしても、人の顔の豊富なピクセル情報のない低画質では、できることに限度があるからです。とくに、照合するデータセットが大きいとより難しくなるでしょう。つまり、1対多モードを突破するため、最初にできることは顔を隠してアルゴリズムにピクセル情報を渡さないこと。ただし、怪しくない方法で隠さないといけませんけどね。例えば、晴れている日ならサングラス、冬ならマフラー。ツバの広い帽子も、額や髪が隠れるうえに顔が影になるので効果的です。単純に手で顔を隠すでもOK。次にできるのは、正面からの画を撮らせないよう下を向くこと。あとは素早く動いて画像をボケさせること。自転車を使ったり、ランニング風に走り抜けたりですね。

顔認証を突破するための私からの最大のアドバイスは、どこに顔認証カメラが実装されているかを知っておくこと、そしてその周辺には行かないことです。このアドバイスがどれだけ役に立つかは、今後の技術の普及しだいです。

今現在の顔認証アルゴリズムは、意図的であろうがなかろうが(ボトックスまたは顔の吹き出物程度の)ちょっとした変化には気づきません。

(ミシガン州立大学工学部コンピューターサイエンス&エンジニアリング教授)

まず最初に、「顔認証を避ける」とは、「Facial Recognition System(FRS)・顔認証システムが、カメラが個人をとられたとき、その個人の顔を認識するのに失敗する」という意味で、ここでは考えましょう。

その上で、“積極的に”FRSが失敗するような方法は以下でしょう。

1. 物理的攻撃。AIモデルの多くは、敵対攻撃に弱いです。入力データサンプルをちょっといじるだけで、AIシステムは失敗してしまいますが、これは顔認証システムも同じ。重要なのは、“ちょっとしたいじり”の中でもどんなものが効果的か調べておくことです。例えば、対FRSとしてデザインされたメガネがありますが、同じような意図でスカーフやマスク、髭をデザインすれば、FRSを騙すことができるでしょう。

2. FRSが誰か他の人と認識してしまうように顔を積極的に変える。これで一般的なのはメイクです。難しいのはどれくらい・いつメイクをすればいいのかということなのですが、これは時と場合によります。つまり、どんな顔の人が、どんな顔に寄せようとしているか次第だということ。メイク少しで似せることができる場合もあれば、劇的なメイクが必要な場合もあります。これを知るには、メイク系アプリを使ってみるのがいいかもしれません。一般的なメイク以外では、ハリウッド映画で使われるような高価なマスク(特殊メイク)もあります。

FRSに認証失敗させられるかどうかは、それに挑む人の努力しだいと言えるかもしれませんね。

(ノートルダム大学のコンピューターサイエンス&エンジニアリング教授)

答えは、“場合による”です。少なくとも、どんな顔認証アルゴリズムを使うのかと、そのアルゴリズムのしきい値による、です。

よりわかりやすく考えてみましょう。ここに2つの画像を比較する顔認証システムがあるとします。2枚の画像が十分似ているとなれば、同一人物と判断。似ていないとなれば、異なる人物だと判断します。

顔認証アルゴリズムは、画像から“特徴ベクトル”(昨今はエンベディングと言われる)を特定方法で処理し、2枚の画像を比較、どれほど似ているかを考えます。この特徴ベクトルを比較し、類似度を0から100、または-1から+1で算出。100または+1が出るのは、まったく同じ2枚の画像を比較するときだけ。

さて、最先端の顔認証アルゴリズムを使い、類似度が-1から+1まであるとします。いろいろな人のペア画像をこのアルゴリズムにかけると、中心値は0あたり、もしくはその少し上にくるでしょう。同じ人物の異なる画像をかけると、中心値は0.8程度。免許証写真のように人の顔が非常によく見える場合は、平均値はもっと高くなるかもしれません。一方、動画からの切り出しなど明瞭な画像出ない場合は、平均値は下がるでしょう。

ここで、この顔認証に使用すべきしきい値をもうけます。しきい値が0.7の場合、2枚の画像の類似度が0.7を下回ると別人と、0.7以上ならば同一人物と判断します。

ここまでくると、最初に言ったこともわかると思います。顔認証を突破するためにどれだけ外見を変えればいいのか。それは、似ていると判断される値、つまり、過去の自分と今の自分の類似値を下げればいいということです。

できることはけっこうたくさんあります。シェードが濃いサングラスやヘアスタイルの変更は簡単かつナチュラルな方法です。驚くほど変顔してみるのもアリですが、自然ではありません。カメラを正面から見ないで、顔をちょっと背けるのも1つ。劇的に太る、痩せるのも1つ。外見が変わるほどメイクする手もあります。が、どれも昔の自分の顔と絶対に照合されないとは言い切れません。なぜなら、どんなアルゴリズムで、どんなしきい値で、システムには比較用としてどの写真が使われているのかがわからないからです。もし、これらの条件がすべてわかれば、そこから試せることは多いでしょうね。