2025年5月9日8:30
ELEMENTSは、2025年4月25日、生成AIの進化により巧妙化する「本人確認をすり抜ける最新の不正手口」をテーマとした勉強会を開催した。当日は、法改正のポイント、今後の本人確認の課題、不正手口の実態と背景、法令改正のポイントなどについて、同社執行役員 保科 秀之氏(Liquid 取締役最高執行責任者COO / 金融犯罪対策協会 理事)が紹介した。
eKYCホ方式の脅威増加
生成AI活用の高度な詐欺手法
本人確認時の不正手口の実態として、eKYC((electronic Know Your Customer、オンライン本人確認)での書類と容貌の画像を使う手法がある。犯罪収益移転防止法(犯収法)ではホ方式、携帯電話不正利用防止法(携帯法)ではハ方式と呼ばれている。これが撮影方式として一番使われている。それ以外にもさまざまな本人確認方式が定められている。また、ICチップを読み取り、そのあとに自身の顔を自撮りする方式、マイナンバーカードを活用した公的個人認証(JPKI/スマホJPKI)がある。これらはワ方式とチ方式で規定されているが、現状はユーザーがもっとも使いやすい書類と容貌での本人確認が普及しているとした。今回、犯収法や携帯法も改正され、撮影する方式は一律廃止になる見込みだ。
不正の手口として、例えば、本人確認書類が本物で、撮影者も本人だが、不正されるケースがある。対面で悪意ある人間が巧みに騙し、本人確認を行わせる方法だ。eKYC当初からこの不正が行われており、国民生活センターから注意喚起が出ている。非対面に関しては、ウェブブラウザのeKYCの場合、eKYC用のURLを転送し、本人が騙されて申請する。ウェブアプリは、悪意あるものが勧誘するが、高齢者のスマホの中に巧みな勧誘を通して、アプリをインストールして、悪意を持った人がリモートで操作して、本人に巧みに書類や容貌を申請させる不正がある。
本人確認書類が偽物で、本人の容貌が本物の場合、架空の本人確認書類と攻撃者の容貌で申請するケースがある。また、被害者の本人確認書類の顔写真を加工して攻撃者の容貌で申請する例もある。これらは昔からある手法だ。
本人の容貌が偽物のケースとして、被害者の本人確認書類と被害者の容貌で申請するパターンがある。現在、同社の「Liquid eKYC」を模したフィッシングサイトも登場しているという。そういうサイトが横行しており、本人確認書類を入手して、被害者の容貌で申請されている。これはフィッシングサイトで動画を撮影して、それを使うケースなどで利用される。
被害者の容貌を生成AIで生成するディープフェイクでは、容貌を生成して、被害者になりすまして申請するケースもある。書類も容貌も架空の生成AIで生成されている。現在増えているのが、フィッシングサイトで本人確認書類を不正に入手して、入手した顔写真を使って、被害者の顔を生成し、生成した顔を容貌の撮影で撮らせるものだ。すでにこれは社会問題化している。
例えば、ディープフェイクや顔をすり替える手法は2年前から徐々に出ており、当初は生成した画像をモニターに移して、スマホのeKYCで撮影する手法がとられていた。こうしたディスプレイ攻撃は、モニターの光の反射、モニターの枠が表示されているので、外形的な特徴から容易に防げたという。ただ、昨年後半から攻撃者の学習が進み、IT技術を駆使して不正を働いている。
