増加する不正利用・なりすましの被害の最新動向とその影響

eKYC(electronic Know Your Customer:電子本人確認)は、従来、郵送や対面で行っていた本人確認を、オンライン上で完結させることができる仕組みで、申請者、事業者にとっても、大きな負担の軽減になります。しかし、同時に、不正行為に悪用されるリスクも存在するため、事業者においては十分な検討と対策が必要になってきます。

近年のなりすまし不正の手口

eKYCの不正は、本人確認書類と容貌(申請者の顔写真)が本物か否かによって、いくつかのパターンに分けることができます。

• 

  eKYCの不正パターン(出典:Liquid)

eKYCは、運転免許証やマイナンバーカードといった、本人確認書類を使って行います。ただ、これらの書類が本物であっても不正は発生します。例えば、巧みに勧誘して、本人を騙して申請される手口がその1つです。この手口については、2019年ごろに国民生活センターが注意喚起しています。

ほかにも、悪意のある人物が「アンケートにご協力いただければ1万円を差し上げます」という虚偽の勧誘を行う手口が確認されております。被害者は1万円の受け取りを期待してアンケートに応じますが、攻撃者は「振込のため本人確認が必要です」と称して被害者の身分証明書を自身のスマートフォンで撮影します。

攻撃者はその場で被害者になりすまし、eKYCを完了させます。被害者が気づかない間に、攻撃者は被害者名義でローンの申込手続きを進行させており、最終的に攻撃者の口座に30万円が振り込まれるという巧妙な不正行為となっています。

これらは対面の例ですが、非対面でも同様のことがあります。

SNSで巧みにお金貸すことができると勧誘して、被害者に銀行口座を作らせ、攻撃者のメールアドレスや電話番号を登録して、攻撃者がその口座を転売してお金を得るといった不正もあります。

さらに、本人確認書類が偽物のパターンもあります。本人確認書類を偽造するようなサービスを利用するケースです。偽造書類の顔写真は攻撃者の顔写真で作ります。これも古くからあるパターンですが、現在でも発生しています。

本人確認書類は本物で、容貌(顔写真)が偽物というパターンもあります。これは、フィッシングなどで本人確認書類を不正に入手し、本人確認書類の顔の部分だけをうまく加工して、攻撃者のものに書き換えるものです。

容貌を作る際には、ディープフェイク(deepfake)というAIを活用した新しい技術を使っています。ディープフェイクは、AI技術を使い、あたかも本物のように見える偽の画像、動画、音声を作ることです。この技術を活用して、偽物の顔を作り、不正に申請するケースは増えています。

• 

  ディープフェイクとフェイススワップ(出典:Liquid)

eKYCでは、運転免許証やマイナンバーカードといった本人確認書類の表面と裏面、斜めに傾けた厚み、さらに自分の顔をスマートフォンで撮影して金融会社などに送ります。金融会社では、それを目視で確認して、本人確認書類と本人の顔写真が本物かどうかを確認します。顔写真の確認では顔認証も行っており、その結果も見ながら人が審査しています。これはeKYCの「ホ」方式と呼ばれるもので、世の中のほとんどのeKYCはこの方式です。

eKYCには、犯収法(犯罪による収益の移転防止に関する法律)第6条第1項第1号に定められている本人確認要件として、(ホ)、(へ)、(カ)、(ル)などの方式があります。

• 

  eKYCの方式例(出典:Liquid)

不正を見破るポイント

eKYCの不正を見破るポイントは、いくつか存在します。運転免許証は、旧と新で表記が異なっており、古い運転免許証の配列のまま偽造するというケースもあり、このあたりは審査でもわかりやすいポイントになっています。

マイナンバーカードの場合は、氏名や住所の位置が決まっており、氏名であれば、「氏名」という漢字に対して、上下中央揃いで配列されています。住所は下揃いで配列され、氏名や住所は全角のみが使用されます。

また、住所はきれいに改行されず、中途半端に改行されますが、偽造だと氏名の位置がズレていたり、半角文字を使っていたり、住所もきれいに改行されていたりといった特徴があり、目視でも偽造だと判定できます。

• 

  目視検知の例(出典:Liquid)

さらに、攻撃者は自分の顔でたくさんの偽造書類を作りますので、個人情報を一括でため込んで比較し、同じ顔であるにもかかわらず氏名が違う、生年月日が違うといったことでも発見できます。

最近は、仮想カメラというソフトウェアを利用する不正もあり、パソコンの中の画像を仮想カメラが撮影することができてしまいます。これが生成AIの登場によって出てきた新たな手法です。

今後はICチップを読み取る方式へ

eKYCの不正対策として、今後は運転免許証やマイナンバーカードのICチップを読み取る方式に変わっていきます。最近のほとんどのスマートフォンは、ICチップを読み取れる機能が付いています。

ICチップは、情報に手を加えるとデータが壊れる特性があり、情報の改ざんができないという特徴があります。

また、IC内の情報には電子署名が付いており、電子署名を認証局に送ると、その電子署名が正しいものかどうかを検証する仕組みを持っています。検証した結果、OKであれば改ざんされていないことが証明でき、正しい情報だということがわかります。

電子署名をするためには秘密鍵が必要ですが、秘密鍵は運転免許証の場合は免許センター、マイナンバーカードは発行する自治体しか持っていないので、いくらICから読み出しても、そこにあるのは電子署名データのみで、影響がありません。ICチップの中には氏名、生年月日、住所、顔写真があり、すべて電子署名が付いています。

ICチップ読み取りに対応した方式には「ヘ」方式や「カ(旧ワ)」方式があります。「ヘ」方式というのは、ICチップ内の写真と自分が撮影した容貌の画像を比べ、さらに、電子署名検証を行いICチップの内容が改ざんされていないかを確認します。

一方で「カ(旧ワ)」方式は、ICチップ内の署名用電子証明書の有効性を、政府系の団体であるJ-LIS(積報公共団体情報システム機構)に照会するという方法です。法改正により、口座開設や携帯契約など法的義務のある本人確認では「ヘ」方式や「カ(旧ワ)」方式が今後主流になっていくと想定されています。