撮影経路そのものを偽装する新攻撃 揺らぐオンライン本人確認の信頼性：セキュリティニュースアラート

Bleeping Computerは、ディープフェイクと入力改ざん攻撃が本人確認を突破し、不正口座開設やアカウント乗っ取りを招いていると報じた。映像判定だけでは不十分で、端末や行動分析を含む全体検証が不可欠であると伝えた。

[ITmedia エンタープライズ編集部，ITmedia]

　コンピュータ情報サイト「Bleeping Computer」は2026年3月2日（現地時間）、ディープフェイクとインジェクション攻撃の高度化により、オンライン本人確認の信頼性が揺らいでいると報じた。

　偽情報拡散だけでなく、銀行口座開設や配達員登録、マーケットプレース出店審査、アカウント復旧、遠隔採用、社内特権アクセスなど、経済活動を支える認証手続きが標的となっている。

映像のみの防御は限界？　撮影経路そのものを偽装する新攻撃が登場

　攻撃者の狙いは単なる画像判定の突破ではない。実在の人物になりすまし、継続的なアクセス権を確保し、その足場を消費者サービスや企業システムに横展開することにある。合成映像や音声の精度向上に加え、盗用映像の再生、認証フローを探る自動化、不正な入力差し替えなど複数の手法が組み合わされている。

　特に問題視されているのがインジェクション攻撃だ。仮想カメラでの合成映像の入力やエミュレーターでの認証実行、改変済み端末の試用などにより、撮影経路そのものを偽装する。こうした場合、解析対象の映像は一見自然でも、実際には正規の撮影過程を経ていない可能性がある。

　米国パデュー大学の研究者は、実際の事件映像を集めたデータベース「Political Deepfakes Incident Database」（PDID）を使って検知性能を評価した。対象には「X」「YouTube」「TikTok」「Instagram」などに流通した圧縮・再符号化済み動画が含まれる。低解像度や短尺クリップなど実運用に近い条件下で、精度やAUC、誤受入率（FAR）が測定された。認証用途においてはわずかな誤受入でも不正アクセスの長期化につながるため、FARの低さが重要となる。

　評価の結果、検知器の性能は実環境条件下で大きくばらつくことが示された。商用システムの中には比較的高い視覚検知性能を示すものもあったが、PDIDは映像検知に焦点を当てた試験であり、端末改ざんや入力差し替えといった全体的な攻撃までは扱っていない。

　専門家は映像のみを対象とした防御は限界があると指摘する。攻撃者は合成映像を再生し、それを差し替え、自動化して大規模に試行する。人手による審査も、生成技術の進歩や入力経路の偽装により有効性が低下している。

　求められるのは映像の真正性だけでなく、端末やカメラの正当性、操作挙動の自然さを含む包括的な検証だ。リアルタイムで複数層の信号を突き合わせることで、単一の検知突破に依存しない耐性を構築する必要がある。ディープフェイク対策は、改ざんされた画素の発見から、認証セッション全体の信頼性評価へと軸足を移しつつある。