連載
» 2021年01月26日 07時00分 公開

本人確認は画像だけで万全か? 事例から学ぶeKYC導入サービスのポイント半径300メートルのIT

本人確認の手段としてeKYCを導入したサービスが近年増加しています。サービス事業者としてもオンラインでの身分証明は、ユーザーを取り込むためにもぜひとも積極的に活用するべきです。しかし“画像”をアップロードするだけで本人確認は十分なのでしょうか。

[宮田健,ITmedia]

 皆さんは身分証明書として何を持ち歩いているでしょうか。運転免許証または顔写真と住所が記載されたカードを所持していることが「その人物がなりすましではない」と証明する手段として一般的です。目の前の人物が身分証明書の実物を持っていて、かつ写真と本人の顔が一致しているかどうかを判断するので、これは認証の3要素のうち「生体情報」と「所持情報」を使った2要素認証と言えます。

 この証明をオンラインで実施するにはどうすればよいでしょうか。近年は、身分証明書を所持しているかどうかを判断するために、サービスで運転免許証の“画像”をアップロードする方法が主流になっています。しかしこうした手法を脅かすような事件が発生しました。

オンラインの本人確認は、手法のアップデートが求められている

 仮想通貨の取引所を運営するQUOINE(コイン)は2021年1月20日、同年11月に発生した不正アクセスに関する最終報告書を公開しました。

 これは悪意ある第三者のサイバー攻撃により、ドメインの管理情報を変更されてシステムやインフラの一部に不正アクセスが可能になったという事案です。QUOINEは、不正アクセスを受けた情報として、電子メールアドレスや氏名、暗号化されたパスワード、APIキーなどの個人情報に加えて、可能性として「顧客の身分証明書やセルフィー画像、住所証明などの本人確認書類」など2万8639件を挙げました。

 近年、金融機関などでオンライン本人確認システム(eKYC:electronic Know Your Customer)が注目を集めて、ネットワーク越しに本人を確認するサービスが増えてきました。今回の事件は、eKYCを利用した本人確認用の身分証明書や顔写真などの個人情報が漏えいしたものです。

 サービスが身分証明書の画像やセルフィー画像“だけ”で本人確認ができる仕組みだった場合、今回漏えいした個人情報を悪用することで、本人になりすまして契約できてしまいます。利用者としてこれほど恐ろしいことはありません。クレジットカード番号が漏えいした場合は事業者による補償もありますし、大変ではありますが、カード番号を変更すれば対処できます。しかし今回漏えいした情報は、簡単には変えられない情報です。

 今回の事件は、「eKYC」を利用したサービスを展開する予定の事業者にとって重要な指針となるはずです。こうした情報が漏えいして攻撃者がなりすまそうとしている場合、画像アップロードだけでの本人確認は甚大な二次被害を生む可能性があります。

 eKYCはさまざまで、身分証明書をアップロードするだけでなく顔の横に提示させ1枚の写真として提出させる手法や指定のポーズを撮影させる、動画で撮影させるなど、不正防止の手法が研究されています。事業者は、実際の被害状況をウォッチしつつ、常に手法をアップデートする必要があります。

外部だけではない 内部不正対策も視野にいれてサービスを運用する

 上記の他にもディー・エヌ・エーが運営するカーシェアサービス「Anyca」のカスタマサポートにおいて、顧客の個人情報を不正に利用した事件が発生しました。同社は、漏えいした個人情報には銀行口座情報や顔写真、本人確認書類画像が含まれており、不正行為をした従業員は得た個人情報でカードローンを不正に申し込んだと発表しました。

 ディー・エヌ・エーの発表によると、不正行為により金銭的な被害は発生しなかったとあります。内部不正は、身分証明書などの個人情報詐取に限らず、内部の部署との情報統制に向けた連携や外部に公開する情報の優先順位など非常に対処が難しい問題です。今回の件で注目すべきは不正発覚からリリース公開までのスピードです。

 2021年1月11〜15日に元従業員による個人情報の不正な持ち出しが実行されて、同年1月19日には当該従業員を懲戒解雇処分として、同年1月21日にリリースが公開されるという対応の早さに関しては評価すべきです。これは検知の仕組み(該当顧客からの問い合わせに始まり、報告ルートと各種ログのチェック機構)が正常に働いていることの証明です。

サービス利用者の「安心」を実現するためには

 eKYCを利用したサービスを展開する組織は、これからも増加していくでしょう。本稿で取り上げた事件は、サービス事業者に顧客から受け取った「これまで以上に慎重に取り扱うべき個人情報をどのように保管すべきか」という新たな課題を突きつけています。

 対策として個人情報の暗号化やオフライン化などが挙げられるのではないかと思いますが、サービス設計として本当にeKYCを利用する必要があるのかどうかは、検討するべきポイントでしょう。


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ