本人確認って、そんなに甘くない - 問われるeKYCの真価(2) ディープフェイクなどの不正を見極める顔認証技術

第1回では、eKYC(electronic Know Your Customer:電子本人確認)の方式や不正手口のほか、不正を見破るテクニックもお伝えしました。今回は、ディープフェイク不正を見極める顔認証技術について言及します。「本人確認って、そんなに甘くない - 問われるeKYCの真価」の過去の回はこちら。

現在、eKYCの主流となっているのは、「セルフィー(容貌画像)＋本人確認書類画像の送信」により判断する「ホ」方式(犯罪収益移転防止法施行規則6条1項1号ホに準拠した方式)です。「ホ」方式の課題は、偽造が簡単だという点です。

ディープフェイクを防ぐ技術

最近はディープフェイクを使った不正の申請が増加しています。ディープフェイクは、AI技術を使い、あたかも本物のように見える偽の画像、動画、音声を作ることです。

ディープフェイクとフェイススワップ(出典:Liquid)

ディープフェイクに対しては、それ自体を判定するのではなく、インジェクション攻撃が成立する画像やデバイスの条件を分析して判定します。判定には、主に加速度センサのデータ利用、タッチパネル出力の分析、カメラ情報の活用という3つを利用します。

加速度センサのデータ利用では、スマートフォンで自分の容貌を撮影する場合、動かないという状況を作るのは難しいため、スマートフォンの加速度センサの数値が変化します。一方、パソコンの中で仮想カメラを使っている場合はこの値が動かないため、加速度センサの出力を利用して、端末の傾きを監視して、判定に利用しています。

タッチパネル出力の分析では、容貌を撮影する際、スマートフォンの場合は指でクリックするかタッチするため、仮想カメラの場合と比べてタッチ面積の差異があります。そういった接触面積の変化を検出して判断します。

カメラ情報の活用では、カメラの入力情報を監視し、不自然な変化や画像の差し替えなど、画像のhash値を分析して判断します。

ディープフェイク判定技術(出典:Liquid)

そのほか、容貌(顔の画像)の不正として、ディスプレイ越しに撮影するパターンがあります。これに対しては、ディスプレイに反射した顔を検知する技術により、不正判定ができます。ディスプレイに投影された顔を撮影した画像は、生身の人間を撮影した場合とは異なるので、そういうところを検知するような判定技術を使っています。

仮想カメラの場合は、画像だけでは判定が難しいので、デバイスの周辺情報を裏側で取得して、通常の動作と異なるような動きがあれば怪しいと検知します。

使える画像を見極める品質評価技術

その顔が本物かどうかを精度高く確認する場合、顔の画像が不鮮明だと判定しにくいので、なるべく鮮明な画像を撮影する必要があります。

そこで、顔の鮮明さを判定する品質評価技術が登場します。具体的には、アプリで自身の顔を撮影する際、手ぶれを検知したら再撮影を促したり、顔の光が反射して白く飛んでいるようなところがないか、画像の大きさなどを機械判定したりして、これらのチェックをすべて通ったときに画像が撮影できる状態になるイメージです。

スマートフォンのマイナンバーカードの提供開始

最近のホットトピックとしては、6月24日にスタートしたスマートフォンによるマイナンバーカード提供があります。これが始まるタイミングにあわせ犯罪収益移転防止法施行規則が改正され、「ル」方式が登場しました。「ル」方式は、これまでの本人確認方法に比べると、かなり革新的な方法です。

「ル」方式の流れ(出典:Liquid)

ユーザーが自分のスマートフォンにマイナンバーカードを登録するという作業は発生しますが、登録が終われば、生体認証するだけで、本人確認が終わります。これまでのパスワードを打ったり、本人確認書類を撮影したりする行為が不要で、生体認証だけで完了するので、かなり利便性が高い方法といえます。政府もこれによってマイナンバーカードを、いろいろな分野で使えるようにすることを意図しています。

「ル」方式に関しても、被害者を巧みに勧誘し、被害者のマイナンバーカードを攻撃者のスマートフォンに登録するといった不正を想定しています。そうなると、攻撃者のスマートフォンで、大半の申請が可能になってしまいます。対策としてはスマートフォンで登録する際に、もう一回、容貌を撮影して、ウォレット機能に入っている顔写真との顔認証を行い、本当に本人が申請しているのかを確かめることで防ごうとしています。