JCB手のひら支払いに思う事 - ホンモノのエンジニアになりたい

こんちわ。

またニュースからのエントリです。JCBが発表した手のひらだけで支払いが完了する新しい認証基盤、決済基盤についてです。

f:id:kwnflog:20180106184651p:plain

私は主にサーバ屋の仕事をしていますが、SIer勤めなので必要に応じてなんでもやらされますやっています。新事業提案、マーケティング、セキュリティ、プレセールスなどなど。その中で認証屋としての顔も持っているため、このニュースはビビッときました。

ニュースの概要
技術と精度
- 判別技術
- 他人受入率
考察・何が変わるか？
- スキミングのやり方が変わる
- 個人端末を使う場合
最後に所感

ニュースの概要

www.nikkei.com

クレジットカード大手のJCBは、手のひらをかざすだけで本人確認やクレジット払いができる仕組みを開発した。

スマホのカメラであらかじめ手のひらを撮影し登録しておけば支払い時に手をかざすだけで本人確認と決済が可能。スマホのカメラを使うので専用装置は不要。

今年の2月からJCB社員を対象とする実験を行う。

ユニバーサルロボット社の手相と静脈認証の仕組みを使う。

他人の手のひらを本人と誤る確率は1000億分の1。

技術と精度

判別技術

可視光による撮影（普通のスマホのカメラ）で静脈を判別できるわけねーだろ、と思っていたんですが、世の中の技術は進んでいるもので既に開発されているみたいです。今回のニュース記事とは異なりますが、日立がやっている開発のニュースがあったので合わせて紹介します。

日立、スマホカメラを使った指静脈認証技術を開発 - PC Watch

この記事は技術概要に触れているので今回の記事よりわかりやすいです。特殊な処理で静脈を判別しているのではなくて、普通に頑張って画像解析して、指の静脈である青っぽいところを判別するもののようです。

JCBの技術も似たようなものなのだと推測しています。可視光から静脈パターンを取得するのに、これ以外の方法があるとは思えないので。

他人受入率

情報処理試験で聞いたことのある方もいると思います。本当は自分でなければ認証されないはずが、他人の情報で認証突破されてしまう確率のことです。

今回のJCBとユニバーサルロボット社（以降、UR社と記載）の記事は他人受入率が理論値1000億分の1のようです。

UR社のニュースリリースに他人受入率の記載がありました。

一部引用します。

（注）他人受入率 1000 億分の 1 は、掌静脈認証技術（0.0003%）と、掌紋検索技術（0.0003%）を「and 融合」した場合の計算上の最高性能を現しています。

http://www.urobot.co.jp/content/files/news20180105.pdf

掌静脈認証としては0.0003％みたいですね。100万人に3人だけうまく認証できないと。

掌紋は手相みたいなものですが、こちらも同じく100万人に3人が失敗すると。

掌紋と静脈の相関係数が０であれば確かに1000億分の1になりそうですね。仮に掌紋と静脈の相関が高ければ最大で100万人に３人が誤認証されてしまうと。国内のカード発行枚数は2億7000万枚ほどなので、

2億7000万×（3÷100万）＝810人

810人に何かが起こる計算。大胆かつ最も悲観的な仮定を置いた場合の理論値ですけど。

考察・何が変わるか？

スキミングのやり方が変わる

今まではカードを持っていることや、カードに刻印された情報を知っていることが本人確認の方法でした。そのためスキミングはカード自体を盗んだり、専用装置に通して情報を抜くやり方が多かったようです。海外旅行なんかに行こうと思ったらスキミング防止用のお財布を勧められたりしますよね。

しかし今後は如何にターゲットの高精細な手のひら画像を手に入れるかという方向にスキミング屋のトレンドが変わるのかもしれません。今はスマホの写真で指紋窃取できる時代なので好条件下で撮影した手のひら写真はもう危なくなるかもしれません。ただ写真による指紋窃取とは違って手のひら画像の入手は容易ではないため、ぶっちゃけ今のところ恐れる必要はなさそうですけどね。

オンライン手相屋が急増したら気を付けましょう。