顔認証悪用のハッカー摘発＝政府サイトに3千件不正侵入

　連邦警察（PF）は13日、生体認証システムをハッキングし、連邦政府公式ポータル「gov．br」上の個人アカウントに不正にアクセスした疑いで、3人を逮捕、2人を指名手配した。容疑者らは、死亡者および生存者のアカウントを悪用し、中銀からの還付金や社会保障サービスに不正アクセスしていた。被害は3千アカウント超に上るとされ、被害総額は現在も調査が続けられている。同日付オ・グローボ紙など（1）（2）が報じた。
　「gov．br」は約1億6700万人のユーザーを擁し、政府ポータルサイトとしては世界でも最多のアクセス数を誇るとされている。納税情報の確認や社会保障制度への登録をはじめ、連邦政府が提供する主要な行政サービスを集約している。さらに着服疑惑が報じられ、現在スキャンダルの渦中にある国立社会保険院（INSS）の年金受給者向けアプリ「Meu　INSS」へのアクセスにも使用されている。
　当局によれば、犯行グループは被害者の顔の特徴を模倣する高度な画像処理技術を用いて生体認証を欺き、被害者アカウントに違法侵入し、同ポータルに紐づく各種公共サービスや個人情報にアクセスしていた。
　容疑者らは、交通局の運転免許証や選挙高裁（TSE）の選挙人登録のデータベースに侵入し、そこにある本物の本人写真上をもとにして偽画像を作り、それで認証システムをすり抜けていたという。
　今回の捜査により、サンパウロ州、ミナス・ジェライス州、セアラ州、パライバ州、マット・グロッソ州、サンタカタリーナ州、パラナ州、リオ州、トカンチンス州の9州で、家宅捜索および押収を目的とした計16件の令状が執行された。容疑者らは「高度不正アクセス罪」や「犯罪組織への関与」の容疑で刑事責任が問われる可能性がある。
　PFによると、同グループは主に二つの手口を用いて犯行に及んでいた。一つは、死亡した人物のアカウントを不正に使用し、中銀が運営する受取価値システム（Sistema de Valores a Receber）を通じて還付金にアクセスする方法。もう一つは、生存している人物のアカウントに無断でアクセスし、同様に還付金を受け取るほか、年金受給者を対象とした天引き融資（empréstimo consignado）の契約を「Meu　INSS」アプリ上で不正に契約する方法だ。
　政府ポータルの本人確認システムには2段階あり、『生体認証』と呼ばれるツールがあり、アクセス時にカメラで撮影された顔が、写真などではなく実在の人物のものであるかどうか、またその人物が生存しているかどうかを識別するはずだった。だが捜査によると、容疑者らはそのポータルのセキュリティシステムを欺く画像を生成するツールを使用したことが判明している。
　政府は今も「このポータルサイトは安全である」と再三強調している。