詐欺師がディープフェイクを使用して顧客の本人確認を回避する方法

人類が生成AI関連の技術開発などに投資した数千億ドルをどう回収するか、その方法を見つけ出そうとしている一方で、サイバー犯罪者は、既にこの技術を積極的に利用しています。例えば犯罪者は、AIを使用して仮想のマネーミュール（盗んだ資金を送金するために使用するダミー口座）を作成したり、さらにはディープフェイクを使用して、金融機関が使用する顧客の本人確認（KYC）を回避しています。

KYC (Know Your Customer)とは？

KYCとは、金融機関で口座を開設したり、クレジットカードを作成する際に求められる顧客の本人確認の手続きを意味します。詐欺行為、マネーロンダリング、脱税、テロ組織への資金流入を防ぐなど、各種犯罪活動に対抗するために使用されます。

最近KYCは、完全リモートサービス、つまり顧客が金融機関の従業員と個人的に接触することなくオンラインでサインアップする時の生体認証システムを指します。

顧客は、書類と自分の顔写真をアップロードする必要があります。多くの場合、その書類を持ちながら自撮りをすることになります。また、最近では追加のセキュリティ対策も普及しており、スマホのカメラをオンにし、指示に従って色々な方向に顔を向けるよう要求するといった方法もあります。

この方法は、取引確認の際にも使用されることがありますが、一般的には、何らかの方法で盗まれた可能性のある静止写真を使用した認証を防止する目的で設計されています。しかし問題は、犯罪者がこの防御手段を回避するためにディープフェイクをを使用した方法を使い始めていることです。

詐欺行為に利用されるAIツール

つい先日、ディープフェイク検知のスタートアップ企業であるSensityのエキスパートが、サイバー犯罪者がどんなことにAI生成コンテンツを悪用するのか、最も一般的な使用方法について説明した年間レポートを発表しました。

このレポートで、エキスパートは世界中のAIコンテンツ作成ツールの総数を公表しています。レポートによりますと、画像生成ツールは10,206個、動画の顔の置き換えやデジタルアバター作成ツールは2,298個、声の生成やクローン作成ツールは1,018個も存在するということです。

また、KYCの回避を目的に設計された専用ツールの数も大きく取り上げており、こうしたツールの数は47個確認されたということです。これらのツールを使用すると、サイバー犯罪者は顧客の本人確認を成功させたデジタルクローンを作成できます。その結果彼らは、遠隔操作で銀行、仮想通貨取引所、決済システムなどの金融機関に口座を開設することができるようになります。

ディープフェイクは、KYC手続きを回避するために世界中で使用されています。地図上で赤く表示されている地域は、これらの攻撃が高い頻度で発生しています。 出典

これらの口座はその後、金融詐欺や違法行為による利益のマネーロンダリングなど、各種の犯罪活動に使用されます。

デジタルクローンストア

最近、404 Mediaは、KYCを回避する目的で人物の写真や動画を販売するアンダーグラウンドのWebサイトについて報じました。記者によりますと、デジタル複製品の販売業者は、そのようなコンテンツの完全なコレクションを持っているとのことです。彼らは経済的に恵まれていない低所得諸国でボランティアを見つけます。映像の対価の相場は、約5～20ドルです。

このようにして集めたコンテンツのコレクションはかなり広範囲に及び、多様な年齢、性別、民族の人々が含まれています。また同サイトのサービスはかなり低価格で、例えば、記者が購入したセットはわずか30ドルでした。このセットには、様々な服装の写真や動画のほか、白いカードと白紙を手にした画像も含まれており、身分証明書やその他の書類に差し替えることが可能です。

KYCを回避するための写真や動画のコンテンツを販売する、詐欺師向けのオンラインストア。 出典

このサービスは極めて顧客志向が高いものです。Webサイトには購入者による感謝のレビューが掲載され、購入回数が最も少ない写真や動画には特別なマークが表示される仕組みになっています。このような精巧なクローンは、詐欺行為防止システムのチェックに合格する可能性が高くなります。

このサイトの管理者は、既製のコンテンツに加えて、個々の購入者の要望に応えて特別に作成する限定コンテンツセットも提供しています。こうしたコンテンツは値段も高額であることが予想されます。

AIが生成した偽造書類

同メディアの記者は、AIを使用して作成された偽造書類のリアルな写真の販売に特化したWebサイトも発見しました。

カリフォルニア州在住者の所有物と思われる偽造運転免許証の写真。 出典

こういった詐欺行為に対抗する企業のエキスパートによると、この手のサービスの一部ではすぐに使用できるセットを販売している場合もあり、そのセットには偽造書類と偽の所有者の写真や動画が含まれているということです。

このように、AIツールの発達やディープフェイクコンテンツを提供するサービスの誕生によって、詐欺師の仕事は容易になっています。ほんの数年前までは、マネーミュール（不正な資金を直接扱い、口座を開設し、送金や現金引き出しを行う実在の人物）は、犯罪活動の中で弱点として最も目を付けられやすい部分でした。

しかしそのような「フィジカルな」ミュールは、今や必要のない存在になりました。犯罪者はもはや、法執行機関の介入を受けやすく、信頼性に欠ける「生身の人間」とやり取りする必要がなくなりました。同様の目的を果たせるデジタルクローンを一定数作成し、口座開設や取引を完全にリモートで行える金融サービスを標的とするだけでよいのです。

次に起こる得ること

現行のKYC手続きの回避が簡単になったことで、将来起こりうる事態は2つあります。1つは、金融組織がAIによる偽造の兆候を検知し、顧客からリモートで提供された写真や動画を検証するための新たな仕組みを導入することです。

もう1つは、規制当局が高い確率で、完全なリモートでの金融業務に対する要件を厳格化するということです。したがって、私たちが既に慣れ親しんでいるオンライン金融サービスのシンプルさと利便性が、人工知能によって脅かされる可能性が十分にあるわけです。

残念ながら、問題はそれだけでは終わりません。エキスパートが指摘するように、写真、動画、音声コンテンツを生成するAIツールが普及することで、人々のデジタルな交流に対する信頼性が根底から損なわれるようになります。AIの創造物の品質が高ければ高いほど、私たちがスマホやパソコンで見るものを信じることは難しくなるでしょう。