ChatGPT-4oで偽造パスポートの作成に成功？ 揺らぐ画像ベースの認証の信頼性：セキュリティニュースアラート

セキュリティ研究者がOpenAIの最新モデル「ChatGPT-4o」を使い、5分で自身のパスポートを精巧に模倣した偽造画像を生成したと発表した。将来的には、生成した偽造パスポートがKYCシステムを通過する可能性もある。

[後藤大地，有限会社オングス]

訂正のお知らせ

修正前の本文中に、生成AIで作成した偽造パスポートについて「一部の報道ではRevolutやBinanceといったフィンテック企業が採用するKYCシステムを簡単に通過したとされている」と記載しました。しかし本記事の参照元である「Security Affairs」が参照した大本の記事にはそうした記載は見られませんでした。そのため該当箇所を訂正の上、Revolut社見解を追記しました。誤解を招く表現となっていたことをお詫び申し上げます。（2025年4月14日19時11分更新）。

　ポーランドのセキュリティ研究者であるボリス・ムシエラク氏は2025年4月1日（現地時間）、OpenAIの最新モデル「ChatGPT-4o」を使い、自身のパスポートを精巧に模倣した偽造画像を生成したと発表した。同画像はオンラインの本人確認（KYC）システムをだますには十分な精度を持っているとされ、本人確認プロセスにおける深刻な脆弱（ぜいじゃく）性になる可能性がある。

ChatGPT-4oで偽造パスポートの作成に成功？　揺らぐ画像ベースの認証の信頼性

　ムシエラク氏は自身の「X」（旧Twitter）アカウント上でGPT-4oを使えば偽造パスポートの生成が可能になったことや5分で大半の自動KYCを突破できるレプリカを作成できたことを述べ、画像を基にする本人確認フローは信頼性が大きく損なわれたと警鐘を鳴らしている。静止画や動画の自撮りを活用した本人確認についても生成AIはそれすらも模倣可能であり、信頼性は完全に失われたと指摘している。

　セキュリティメディアの「Security Affairs」によると、生成された偽造パスポートは外見上は本物とほとんど区別がつかないほど精巧であり、RevolutやBinanceといったフィンテック企業が採用するKYCシステムを簡単に通過したとされている。しかし、同記事の参照元である「Tech News」の記事ではそのような事実は明確に示されていない。

　英国に本社を置くRevolutは公式見解として「AIで偽造されたパスポートを使って当社の本人確認手続き（KYC）を通過できるという指摘について断固として否定します。RevolutのKYCは、Revolutおよび第三者機関の高い技術力によって検証された、洗練された、安全で信頼性の高い手続きです。この手続きでは、顧客はID書類を提出するだけでなく、生体認証チェックや追加検証など、顧客がリアルタイムで物理的に実行しなければならない他の手順も通過する必要があります。Revolutは、アプリと顧客の残高資金のセキュリティ確保に万全を尽くしており、偽造やID盗難のリスクをさらに低減するために継続的に新しい技術を検証しています」とコメントしている。

　今回の結果は将来的には、従来の画像ベースの本人確認手法が生成AIによって破られる可能性があることを意味している。ID詐欺やなりすましによる金融口座開設、不正なクレジットカード申請といったサイバー犯罪への悪用が現実的な脅威となりつつあることを示している。

　一方で同氏は具体的な生成過程やプロンプトを公開しておらず、再現性や信ぴょう性については疑問が残る。また、実際にKYCを通過できるかどうかについては確証は得られていない。

　OpenAIはこの件に関して明確な声明を出していないが、ムシエラク氏の投稿から数時間後には、ChatGPT-4oが関連するプロンプトに対して出力を拒否する挙動が見られたとされており、安全性に関するポリシーが適用された可能性がある。

　今回の一件は写真や動画に依存した本人確認の信頼性が揺らぐ可能性があるものであり、今後はNFCを使ったチップ認証やEUが義務化を進める電子ID（eID）ウォレットといった、より堅牢（けんろう）なデジタル本人確認手段への移行が求められる状況となっている。

　生成AIの進化がもたらす利便性の裏側でサイバーセキュリティの脅威も増加している。今回のような生成AIを用いた偽造パスポートの生成技術が悪用されればこれまで以上に信頼性の高い偽身分を容易に作成できるようになるだろう。政府機関や国際機関、グローバル企業は本人確認技術の刷新および監視体制を強化することが求められている。