SNSに投稿した何気ない自撮り写真1枚から、指紋が盗まれるリスクが現実のものになりつつある。スマートフォン、銀行アプリ、マンションの玄関——現代生活のあらゆるところに指紋認証が組み込まれており、2025年に出荷されたスマートフォンの93%に指紋センサーが搭載されているという推計もある。指紋はもはや「変更できない永遠の鍵」だ。その脅威が、2026年4月の公開デモによって具体的な形を持った。金融専門家のLi Changが中国のリアリティ番組で示したのは、カメラから1.5m以内で”ピース”をした写真から指紋情報をほぼ完全に抽出できるという手順で、使ったのはクラウドAIツールと一般的な画像編集ソフトだった。技術が新しいのではない——誰でも使えるレベルに降りてきたことが問題だ。

AD

AIが「ぼやけた指先」から指紋を読み取る仕組み

中国科学院大学で暗号学を専門とするJing Jiwu氏の説明によれば、照明・手ブレ・フォーカス・撮影角度という4条件が揃うほど抽出精度が上がる。現代のスマートフォンカメラは手ブレ補正と自動フォーカスが標準装備で、晴天の屋外や照明のある室内ではこの4条件を自然に満たしてしまう。つまり「ぼやけているように見える」写真こそが問題で、AI超解像アルゴリズムがテクスチャの細部を推定・補完し、画像コントラスト処理が指紋の隆線パターンを際立たせる。Li Changが番組内で「AI強化ツールを使えば肉眼ではぼやけた指紋も鮮明にできる」と述べたのはこの処理を指す。距離が1.5〜3mに広がっても約半分の指紋情報が復元でき、Jing氏はピースだけでなく高解像度写真に映り込んだはさみポーズでも手の詳細構造を再現できると述べている。

この技術自体は2010年代後半から研究段階に存在したが、2025〜2026年現在ではクラウドサービスや無償ツールとして一般流通するレベルまで普及した。Qianxin Industrial Security Research Centreの所長Pei Zhiyong氏は「高精度抽出には特定条件の組み合わせが必要であり、ランダムな日常写真から手当たり次第に攻撃するのは非効率だ」と述べている。しかし標的が特定されている場合——ストーカー被害を受けている、企業の重要ポジションにいる、高額資産を管理している——攻撃者の費用対効果は大きく変わる。ランダムな攻撃では非効率でも、特定の人物を狙う場合は抽出コストが十分に見合うレベルになる。SNSへの投稿頻度が高く、かつ指紋認証を銀行決済や物理鍵に使用しているという条件が重なれば、このリスクは理論の話ではなくなる。

実害が起きた3件と、10年のタイムライン

技術的な可能性を「実害」の次元で確認できる事例がある。2021年、英国の薬物密売人Carl Stewart(39歳)は暗号化通信アプリEncroChat上でスティルトンチーズの写真を仲間に送ったことが命取りになった。写真に映り込んだ手のパームプリントと指紋から警察が本人を特定し、13年6ヶ月の懲役が言い渡された。顔を写さなければ安全だという前提が、指先1本で崩れた事例だ。2025年7月には杭州で犯罪グループがSNSから抽出した指紋を使ってスマートドアロックの解錠を試みた事案が報じられた。試みは失敗に終わったが、「写真→指紋抽出→物理的な錠前への攻撃」という手順が実際に試みられたことの意味は小さくない。中国では別途、会社員が出勤管理システムを経由して同僚の指紋データを収集しシリコン製偽造指を作成、58万元(約1,200万円)を窃取したとされるケースも中国メディアが伝えている。

写真からの指紋抽出という手法が研究者の領域にあったのは2013年まで遡る。CCC(カオスコンピュータークラブ)所属のJan Krisslerが、iPhone 5s発売から48時間以内にApple Touch IDのバイパスに成功した。その翌年2014年、Krisslerはハンブルクの年次大会でドイツ国防相Ursula von der Leyenの指紋を3m離れた公開写真から再現し、商用ソフトウェアVeriFingerで処理したと発表した。「指紋はどこにでも残すものだ。指紋で何かを守るべきではない」というKrisslerの発言は当時は過激に聞こえたが、2021年にKraken Security Labsが材料費5ドル以下の偽造指で大多数のデバイスを突破できると報告したことで、「専門家の警告」は「実行可能な攻撃手順書」に変わった。2013年は「物理的な接触痕」が必要で、2014年は「複数の公開写真と商用ソフト」が必要だった。2026年現在は「SNSの写真1枚とクラウドAI」で足りる可能性が指摘されている。必要なリソースと専門性が段階的に低下してきた12年間だ。

拡大するグローバルリスク:インドのAEPS詐欺

写真経由の攻撃が欧州・東アジアで事例化する一方、インドでは別経路から指紋情報が侵害されている。インドのサイバー犯罪専門メディアの報道によると、AEPS(Aadhaar Enabled Payment System:アダール連携決済システム)を悪用した指紋詐欺が2025年から2026年にかけて急増しており、累計被害額は1,200億ルピーに上るとされる。複数の専門家がインド国内でのバイオメトリクス詐欺リスクの高まりを指摘しているが、この数値はインド準備銀行(RBI)の公式統計での確認がとれていないため、留保をもって受け取る必要がある。

AD

指紋認証が廃れない理由と、脆弱性が存在し続ける構造

指紋センサー市場は2025年に約107億ドル規模とされ、2031年には208億ドルへの成長が予測されている。スマートフォン出荷台数の93%という普及率は、リスクが明らかになった後も「利便性」が選ばれ続けていることを示す。PINコードを覚えずに済み、0.3秒で解錠できる体験は、理論上のリスクより日常的な価値として機能する。

パスワードは漏洩すれば変更できるが、指紋は生涯で10本しかなく、一度情報が流出すれば更新の手段がない。物理的な指紋を残すことは避けようがなく、写真への写り込みも完全には防げない。それでも指紋が認証要素として採用され続けているのは、攻撃コストが「十分に高い」という前提が成立してきたからだ。AI超解像ツールの普及はその前提を侵食している。指紋認証は「多くの人にとって当面は安全」だが「特定の標的にとってはすでに脆弱」という非対称なリスク構造にある。AIによる画像解析が普及するにつれ、「特定の標的」の定義が広がっていく。

今日からできる対策:一般ユーザー向けと高価値資産向け

写真と指紋の関係を意識するだけでリスクを大きく下げられる。カメラから3〜4m以上の距離を保つことが最も効果的な物理的対策で、距離が増えるほど解像度が落ち、指紋の隆線パターンの抽出に必要な情報量が得られなくなる。SNSへの投稿前に指先をぼかす編集を加えることも有効で、スマートフォンの標準カメラアプリでも実施できる。これは一般ユーザー向けの基本対策だ。

指紋認証の登録先を絞ることも現実的な選択になる。信頼できる自分のデバイスへの登録は問題が少ないが、ショッピングモールの端末、ジムの入退室システム、レンタカーの車載システムなど管理者が不明な機器への登録はリスクを高める。管理実態が確認できない環境ではPINや暗証番号を選ぶほうが安全だ。高価値の情報や資産を扱う場面では、指紋認証を単独で使わないことが推奨される。銀行アプリや企業の機密システムにアクセスする際、指紋に加えてPIN、OTP(ワンタイムパスワード)、パスキーなどを組み合わせた多要素認証(MFA)を設定すれば、指紋データが流出しても即座に侵害されるリスクを大幅に下げられる。Krisslerが2013年に述べた「指紋で何かを守るべきではない」という主張は、「指紋だけで守るべきではない」という現実的な指針として今こそ意味を持つ。