自分を“自分”であるとどう証明すればいい？ 悪用が進む「当人認証」を考える：半径300メートルのIT（1/2 ページ）

非対面で本人であることを証明するために「eKYC」をはじめとした新たな技術が登場する中、攻撃者もこれを攻略するためにあらゆる手をこまねいています。今回は「当人認証」の現在地と筆者が予測する将来を紹介します。

[宮田健，ITmedia]

　また悩ましい事件が発生しました。ワークスタイルテックの2024年3月29日の発表によると、同社が保存していた「お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像」が、確認されただけでも15万4650人分ダウンロードされていたことが明らかになりました。

ワークスタイルテックは顧客データの漏えいを公表した（出典：ワークスタイルテックのWebサイト）

　これは2021年5月に発生した、ネットマーケティングが運営するマッチングアプリ「Omiai」のインシデントに類似しています。身分証明書の画像そのものが流出するという、新たな事件に発展し得る大きな問題です。

　2024年3月には、札幌市内で被害者名義の銀行口座が勝手に作成されていたという特殊詐欺が報告されています。このとき、攻撃者は被害者の顔とマイナンバーカードを、スマートフォンのビデオ通話を通じて写すという大胆な手法で口座を作成したとされており、こちらも大きな話題になりました。

　攻撃者の一部は、何らかの方法で身分証明書の画像を奪ったり、オンラインでの当人認証のための手法、いわゆる「eKYC」を攻略したりしています。この問題は結論から言うと利用者だけで何とかできるものではないため、社会全体で対処が必要な事案といえるでしょう。

狙われるのはセキュリティが甘いeKYC実施事業者か

　これまでは窓口に出向いて運転免許証や住民票、戸籍などを提示する必要があった事務的な処理も、今ではオンラインで申請できることが増えてきています。最近では銀行口座もスマートフォンのアプリを通じて、オンラインで開設できるところも多いようです。

　ただ、そのとき問題になるのはスマートフォンの向こう側にいるのが、本当に契約者本人かどうかという点です。非対面の場合に契約者本人かどうかを確認する要素としては「身元確認」と「当人認証」が挙がるでしょう。

　身元確認とは本人が実在することを証明するものです。これは、本人確認書類が偽造されていないかどうかでチェックできます。もう一つの当人認証は、生体情報や所有情報、知識情報などから、申請者が本人であるとチェックすることを指します。

　では攻撃者の立場から、この確認と認証をすり抜けるにはどうすればよいでしょうか。身元確認は、運転免許証やマイナンバーカードの“見た目”を偽造し、厚みのある素材で作ってしまえば、カメラに写ったものが本物であるように見せられるでしょう。

　当人認証については、本人しか記憶していないパスワードを盗み出すことは今の時代もはや難しくはないかもしれません。しかし指紋や顔といった生体情報を盗むことは困難ですし、本人だけが持つマイナンバーカードや運転免許証を盗むことも難しいでしょう。

　ただし、これが「身分証明書が流出している」ことと「セキュリティが甘いeKYCを利用している業者」が組み合わさると、厄介な問題となります。まず、身元確認のための身分証明書は流出した画像から作り出せてしまいます。また、動画だけで運転免許証やマイナンバーカードの所持確認をするケースでは、漏えい顔写真で本人確認できてしまうことが幾つかの事件からも既に明らかになっています。

　携帯電話事業者のeSIM再発行の際、指示通りに顔の向きを変えてマイナンバーカードと同時にカメラに写るなどの方法で身元を確認する手法が増えており、筆者も何度か経験したことがあります。

　認証の強度は対象のサービスの重要度によって変化することは間違いないですが、そのバランスを無視し、本来確実な身元確認／当人認証が必要なサービスでも、セキュリティが甘いeKYCが利用されているケースがあるかもしれません。身分証明書が漏えいしている可能性がある今、こうしたサービスが見直されなければ、利用者の保護ができない状況に追い込まれてしまうかもしれません。