ホンモノのエンジニアになりたい

ITやビジネス、テクノロジーの話を中心とした雑記ブログです。

JCB手のひら支払いに思う事

こんちわ。

またニュースからのエントリです。JCBが発表した手のひらだけで支払いが完了する新しい認証基盤、決済基盤についてです。

f:id:kwnflog:20180106184651p:plain

私はSIerに勤めていて主にサーバ屋の仕事をしていますが、SIerという会社の特性上、色んなことをやらされます やっています。

新事業提案、マーケティング、セキュリティ、プリセールスなどなど。

その中で認証屋としての顔も持っているため、このニュースはビビビっときました。

 

もくじ

 

ニュースの概要

 

www.nikkei.com

クレジットカード大手のJCBは、手のひらをかざすだけで本人確認やクレジット払いができる仕組みを開発した。

スマホのカメラであらかじめ手のひらを撮影し登録しておけば支払い時に手をかざすだけで本人確認と決済が可能。スマホのカメラを使うので専用装置は不要。

今年の2月からJCB社員を対象とする実験を行う。

ユニバーサルロボット社の手相と静脈認証の仕組みを使う。

他人の手のひらを本人と誤る確率は1000億分の1。

 

調べてみた

判別技術

可視光による撮影(普通のスマホのカメラ)で静脈を判別できるわけねーだろ、と思っていたんですが、世の中の技術は進んでいるもので既に開発されているみたいです。今回のニュース記事とは異なりますが、日立がやっているニュースが別に見つかったので合わせて紹介します。

 

日立、スマホカメラを使った指静脈認証技術を開発 - PC Watch

この記事は技術概要に触れているので今回の記事よりわかりやすいです。特殊な処理で静脈を判別しているのではなくて、普通に頑張って画像解析して、指の静脈である青っぽいところを判別するもののようです。

 

恐らくですが、JCBの技術も似たようなものなのだと思います。可視光から静脈パターンを取得するのに、これ以外の方法があるとは思えないので。

 

他人受入率

情報処理試験で聞いたことのある方もいると思います。本当は自分でなければ認証されないはずが、他人の情報で認証突破されてしまう確率のことです。

今回のJCBとユニバーサルロボット社(以降、UR社と記載)の記事は他人受入率が理論値1000億分の1のようです。

 

UR社のニュースリリースに他人受入率と記載がありました。

一部引用します。

(注)他人受入率 1000 億分の 1 は、掌静脈認証技術(0.0003%)と、掌紋検索技術(0.0003%)を「and 融合」した場合の計算上の最高性能を現しています。

 http://www.urobot.co.jp/content/files/news20180105.pdf 

 

掌静脈認証としては0.0003%みたいですね。100万人に3人だけうまく認証できないと。

掌紋は手相みたいなものですが、こちらも同じく100万人に3人が失敗すると。

 

調べてもわからなかったですが、掌紋と静脈の相関係数が0であれば確かに1000億分の1になりそうですね。仮に掌紋と静脈の相関が高ければ最大で100万人に3人が誤認証によって何かが起こると。国内のカード発行枚数は2億7000万枚ほどなので、国内では

2億7000万×(3÷100万)=810人

810人に何かが起こる計算。大胆かつ最も悲観的な仮定を置いた場合の理論値ですが。

 

 

考察・何が変わるか?

スキミングのやり方が変わる

今まではカードを持っていることや、カードに刻印された情報を知っていることが本人確認の方法でした。そのためスキミングはカード自体を盗んだり、専用装置に通して情報を抜くやり方が多かったようです。

しかし今後は如何にターゲットの高精細な手のひら画像を手に入れるかという方向にスキミング屋のトレンドが変わるかもしれません。今はスマホの写真で指紋窃取できる時代なので好条件下で撮影した手のひら写真はもう危なくなるかもしれない。

怪しいオンライン手相屋が増えてきたら危ないですね。

 

個人端末を使う場合

お店で店員さんと対面状態にいるときに手をかざすなら怪しいことはできませんが、自宅でオンライン決済をするにはリスクが増えるかもしれません。

自宅で自分のスマホを使って手のひらをカメラに写す時に、その端末が裏でクラッキングされていればカメラ取得情報を転送することは可能です。

 

最後に所感

手のひらをかざすだけで支払いが完了するというのはかなり便利そうです。

また応用範囲も広く、認証装置が汎用機器である点も普及につながる利点です。ある時は認証屋としても仕事をしている私から見ると、装置が汎用的である点はすごくいいです。ワンタイムパスワードトークンを持たせるとか、装置が特殊で目ん玉飛び出るくらい高額なとか、そういった普及の足止めになる物理的な要素がないですから。

 

ただ今回のニュースはJCB社の決済で使うという話でした。IT業界の人という立場で言うと、人が死ぬシステムと金融系はガチガチに固く作らないといけないので、サービスリリースまでには時間がかかりそうな予感がします。

 

また私個人としては、まだ一企業に生体情報を渡したいと思えないので、サービスが始まってもしばらくの間、利用することはないでしょう。

 

おわり