Nikon Z6IIIのC2PA認証機能に脆弱性があるのではとの報告

Nikon Z6IIIのC2PA機能に脆弱性がある可能性

Nikon Z6IIIに搭載されたC2PAの機能に重大な脆弱性が含まれているのではないかとして話題になっています。どのようなことなのか、この記事で詳しくお伝えします。

多重露出機能に盲点

Nikon Z6IIIのC2PA機能に重大な脆弱性があるとNikonRumorsが伝えています。

NikonRumorsが、ニコンのNikon Z6IIIに搭載されたC2PA機能に重大な脆弱性があることを伝えています。ただし、現在、これが脆弱性なのか想定内のことなのかはまだわからず、脆弱性の可能性がある程度の情報なので、そのあたりはご了承ください。

C2PAとは、画像の真正性を証明するために、画像ファイルに撮影日時、カメラ、GPS情報や、どのような編集を行ったかといった情報を記録する機能です。画像に保存されたこれらのデータは、撮影者しか知らない秘密鍵でデジタル署名され、撮影者が公開する公開鍵で署名を確認することで、撮影者本人による撮影データであることを証明できる仕組みとなっています。

画像に記録されたデータが変更された場合には、デジタル署名に記録されている情報と異なるため、改ざんされたことを検知できるようになっています。

今回、Nikon Z6IIIはこのC2PA認証の機能を新ファームウェアで搭載しましたが、上記のように何らかの脆弱性があると指摘されています。C2PA認証の機能を調査したところ、Nikon Z6IIIの多重露出機能を利用すると、このカメラで撮影していない画像でも、Nikon Z6IIIで実際に撮影したかのようなデータが記録されてしまうことがわかったそうです。

多重露出を行う際には、Nikon Z6IIIでは多重露出の元となる画像を指定することができるのですが、特定の画像をオーバーレイとして指定して多重露出撮影を行うと、2回目に撮影した情報がC2PAの情報として記録され、最初の画像の情報が上書きされてしまうため、画像の偽装ができてしまうと指摘されています。

これは非常に興味深い方法ですね。確かに多重露出時にどのような情報を記録するかは重要で、多重露出される側の画像の情報の取り扱いによっては、このような問題が発生する可能性がありそうです。これを悪用すれば、2回目の撮影時にレンズキャップをつけっぱなしで撮影するなどすれば、画像をまったく合成することなく、指定した画像にC2PAの認証情報を付加できる可能性があり、問題になるかもしれません。

もちろん、多重露出そのものが、もはや画像を加工しているとも言えるわけで、その画像の真正性が必要なのかは微妙なところですが、AIで生成した画像と実際に自分で多重露出して撮影したものは異なるので、実際に撮影したという証拠となるものがほしいということは理解できます。

多重露出でこの問題を解決するには、新たに生成する画像にも多重露出される側の指定する画像の真正性を証明する情報を保存し、1回目と2回目の撮影情報をそれぞれ別々に保存するしか方法がないのではないかと思います。しかし、このような変更にはかなりのコストがかかりそうです。

ただ、今現在、これが脆弱性なのか、または実際に問題ないのかどうかは不明です。もし何か問題があるとしたら対処されると思いますし、何らかの告知があると思いますので、しばらく様子を見た方がいいかもしれません。

–NikonRumors