オンラインでの本人確認(eKYC)は、口座開設・ローン申込・証券取引など金融サービスのデジタル化を支える基盤技術です。しかし近年、ディープフェイク技術の高度化によって、eKYCの信頼性が根底から揺らぐ脅威が現実のものとなっています。本記事では、金融機関がeKYCに組み込むべきディープフェイク対策の必要性と具体的な対応策を解説します。

eKYCとは?現在の仕組みと普及状況

eKYC(electronic Know Your Customer)とは、本人確認書類(運転免許証・パスポート等)の画像と、本人の顔写真・動画を突き合わせることで、対面なしにオンラインで本人確認を完了する仕組みです。

日本では2018年の犯罪収益移転防止法(犯収法)改正によってeKYCが解禁され、現在では銀行・証券・保険・仮想通貨交換業者など多くの金融機関が導入しています。スマートフォンで完結できる利便性から利用者にも受け入れられており、市場は急速に拡大しています。

ディープフェイクがeKYCを脅かす3つのシナリオ

シナリオ1:フェイス・スワップによる顔写真偽造

eKYCの多くは「本人確認書類に記載の顔写真」と「リアルタイムで撮影した本人の顔」を照合します。ディープフェイク技術を使えば、他人の身分証明書に自分の顔写真をすり替えたり、逆に本人の身分証を使って別人の顔に差し替えることが可能です。

シナリオ2:リプレイ攻撃(録画映像の再生)

「利用者が画面に顔を向けてリアルタイムで動作する」ことを確認するライブネス検知(Liveness Detection)を使ったeKYCでも、高品質なディープフェイク動画を画面に再生することで欺くことができます。この「リプレイ攻撃」は既存のライブネス検知の弱点を突いたものです。

シナリオ3:身分証明書自体の偽造とのコンボ攻撃

ディープフェイクによる顔偽造だけでなく、AIを使った高精度な身分証偽造(運転免許証・パスポートの画像生成)と組み合わせた複合攻撃も報告されています。どちらか一方だけを検知するシステムでは対処が不十分です。

従来のライブネス検知の限界

ライブネス検知(生体確認)は、eKYCの中核技術として広く使われています。主な方式には以下があります。

  • パッシブ型:ユーザーに特別な動作を求めず、顔の3D構造や皮膚テクスチャを解析
  • アクティブ型:まばたき・頭を動かす・指示に従う動作で「生きている人間」を確認

しかし、最新のディープフェイク技術はこれらの検知手法に対応しつつあります。単体のライブネス検知だけでは不十分であり、ディープフェイク専用の検知レイヤーを追加することが業界標準になりつつあります。

eKYCに求められるディープフェイク対策の技術的要件

1. AIによるディープフェイク検知レイヤーの追加

ライブネス検知と並行して、映像・画像がAI生成されたものかどうかを判定する専用の検知モデルを導入します。生成AIの痕跡(ピクセルパターン・周波数成分の異常等)を検出することで、ディープフェイクによる偽造を識別します。

G1 TechnologyのspellbreakerはeKYCフローへのAPI連携に対応しており、既存のシステムに検知レイヤーとして組み込むことが可能です。

2. 多角的な信号の組み合わせ

単一の検知手法に頼るのではなく、複数の信号を組み合わせることでロバスト性を高めます。

  • 顔の3D構造解析(平面的な偽造への対抗)
  • テクスチャ・皮膚の反射特性の解析
  • マイクロ表情の自然さの検証
  • 動画エンコードアーティファクトの検出
  • デバイス・ネットワーク情報との突き合わせ

3. 継続的なモデル更新

ディープフェイク生成技術は月単位で進化しています。検知モデルも同等の速度でアップデートされなければ、実効性は急速に失われます。導入するソリューションが継続的な学習・更新のサイクルを持っているかを確認することが重要です。

規制・ガイドラインの動向

日本の犯収法とeKYC

金融庁は2023年以降、マネーロンダリング・テロ資金供与対策の強化を金融機関に求めており、eKYCの信頼性向上が重要課題として位置付けられています。ディープフェイクによるeKYC詐欺は「なりすまし」に該当するため、防止策の強化が事実上義務化されつつあります。

海外の動向

  • FATF(金融活動作業部会):デジタルIDと本人確認の信頼性に関するガイダンスを更新
  • 欧州EBA(欧州銀行監督機構):ライブネス検知を含む遠隔本人確認の要件を強化
  • 米国NIST:デジタルアイデンティティガイドラインでディープフェイクリスクへの言及を追加

導入ステップ:eKYCへのディープフェイク検知組み込み

ステップ1:現行eKYCフローのリスク評価

現在使用しているライブネス検知の方式と、ディープフェイク攻撃に対する脆弱性を評価します。サービス提供ベンダーへの問い合わせと、独自の脆弱性テストを組み合わせることをお勧めします。

ステップ2:検知APIの選定と統合

自社のeKYCシステムのアーキテクチャに合わせて、ディープフェイク検知APIを選定します。G1 Technologyでは、ご要件に合わせたデモとPoCのご提供が可能です

ステップ3:閾値設定とモニタリング

誤検知率と検知率のバランスを調整し、自社のビジネスリスク許容度に合った運用閾値を設定します。導入後も定期的に検知精度を評価し、生成技術の進化に対応したモデル更新を行います。

まとめ

eKYCはデジタル金融サービスの重要な基盤ですが、ディープフェイクという新たな脅威に直面しています。従来のライブネス検知だけでは対処しきれない高度な偽造攻撃に備えるためには、AI専門の検知レイヤーを組み込むことが不可欠です。

G1 Technologyでは、金融機関向けのeKYCセキュリティ強化をspellbreakerでご支援しています。まずはご要件のヒアリングから始めますので、お気軽にお問い合わせください。

よくある質問(FAQ)

Q. 現在のeKYCシステムにどのように組み込めますか?

A. REST APIとして提供しているため、既存のeKYCフローに検知ステップとして追加することが可能です。システム構成についてはお問い合わせいただければ詳しくご案内します。

Q. ライブネス検知を既に導入しているが、追加が必要ですか?

A. 最新のディープフェイク技術はライブネス検知の盲点を突くものが増えており、専用の検知レイヤーとの組み合わせが推奨されます。特にリプレイ攻撃対策には追加レイヤーが効果的です。

Q. 誤検知でユーザーが弾かれることはありませんか?

A. 誤検知率は閾値設定によって調整可能です。自社のビジネスリスクと利用者体験のバランスに合わせて設定できます。

Q. 仮想通貨交換業者でも活用できますか?

A. はい。仮想通貨交換業者のeKYCは犯収法の対象であり、ディープフェイクリスクも高い領域です。金融機関と同様のユースケースでご活用いただけます。