「ディープフェイク本人確認」突破による不正口座開設、AIによる顔認証システムの限界が露呈

導入

金融機関やフィンテック企業が導入を進めるオンライン本人確認（eKYC）システムに対して、ディープフェイク技術を悪用した突破攻撃が急増しています。攻撃者は盗んだ身分証明書の写真と、SNSから収集した標的人物の顔画像を組み合わせ、リアルタイムでなりすまし動画を生成することで、「ビデオ通話による本人確認」すら突破します。この手法により、犯罪組織が他人名義で銀行口座や暗号資産口座を大量に開設し、マネーロンダリングや詐欺の温床となる事態が発生しており、生体認証の信頼性そのものが問われています。

詳細な説明

従来のディープフェイクは事前に録画された動画の加工が主流でしたが、最新の技術では「リアルタイム顔交換」が可能になっています。攻撃者は、市販のディープフェイクソフトウェアとWebカメラを使い、オペレーターの指示に従って「右を向いてください」「まばたきをしてください」といった動的な本人確認要求にも対応できます。身分証明書は、過去の情報漏えい事件で流出したデータや、SNSに投稿された免許証の写真などから入手します。特に危険なのは、本人の動画素材が豊富にある著名人や、YouTubeで顔を公開している経営者が標的となりやすい点です。金融機関側のAI判定システムも、高度なディープフェイクと本物の区別が困難になりつつあり、検知率の低下が報告されています。

影響と対策

なりすまし口座は振り込め詐欺、ランサムウェアの身代金受取、不正送金の中継口座として悪用され、被害者本人が犯罪に関与したかのような誤解を招きます。対策として、金融機関は顔認証だけに依存せず、多要素での本人確認を強化する必要があります。具体的には、マイナンバーカードの電子証明書を活用した公的個人認証や、携帯電話キャリアとの連携による本人確認、さらには過去の取引履歴や行動パターンとの整合性チェックを組み合わせます。技術面では、ディープフェイク検知AI（顔の微細な動きや光の反射パターンを解析）の導入や、赤外線カメラによる「生体検知（Liveness Detection）」の強化が推奨されます。また、高額取引や重要な設定変更時には、物理的な本人確認書類の郵送確認を併用するなど、アナログな手段との組み合わせも有効です。

まとめ

「顔が本人の証明」という前提が崩れつつある現在、生体認証は「完璧な解決策」ではなく「複数の認証要素の一つ」として位置づける必要があります。AI技術の進化に対抗するには、AI検知とアナログ確認の多層防御が不可欠です。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp