生成AIによる身分証偽造、eKYC本人確認の限界を研究に学ぶ

生成AIの普及で、精巧な偽造身分証や改ざん画像を専門知識なしに作れる時代になりました。オンラインの本人確認(eKYC)を突破しようとする攻撃は、もはや「目視でおかしいと気づける」レベルを超えつつあります。本記事では、この分野を体系的に整理した最新のサーベイ論文(査読前のプレプリント)を手がかりに、攻撃の全体像と検出技術の限界を確認し、2027年の犯収法(犯罪収益移転防止法)改正を控えた情シスが何を押さえるべきかを実務目線で整理します。

この記事でわかること

  • 生成AI時代の身分証攻撃が大きく3類型に整理できること
  • 最新の検出モデルでも運用条件では取りこぼしが多い、という研究結果
  • 2027年の犯収法改正(ICチップ読取への一本化)が示す方向性と、情シスの備え

どんな研究か(1文でいうと)

本論文「From Forgeries to Foundation Models: A Systematic Survey of Identity Document Attack and Detection」(Gourab Das ら、2026年7月1日にarXivで公開)は、身分証(IDドキュメント)に対する攻撃と、その検出技術を統一的な脅威モデルで整理したサーベイです。ルールベースの初期手法から、フォレンジック的な改ざん箇所特定、注入攻撃対応のパイプライン、そして基盤モデル(Foundation Models)を使った検出まで、幅広く俯瞰しています。なお本稿はarXivのプレプリントであり、査読を経ていない点に留意してください。

攻撃はどう分類できるのか

論文は身分証への攻撃を、性質の異なる3つの「フォレンジック上の失敗モード」に分けています。ここを押さえると、自社のeKYC/本人確認フローのどこが狙われるかを考えやすくなります。

攻撃類型 概要 イメージ
提示攻撃(Presentation) 物理的に偽造・加工した身分証をカメラに提示する 印刷した偽造カード、画面のなりすまし提示
注入攻撃(Injection) カメラ入力を迂回し、偽の画像や映像をシステムに直接流し込む 仮想カメラ、APIへの直接投入
生成合成(Generative Synthesis) 生成AIで身分証そのものや顔・記載項目を合成・改ざんする AI生成の身分証画像、記載欄の項目単位の書き換え

従来の「本物の身分証を物理的に偽造する」提示攻撃だけでなく、入力経路を迂回する注入攻撃と、AIによる高精度な合成・改ざんが加わったのが近年の変化です。とくに生成合成は、素人でも高品質な偽造を量産できてしまう点が脅威とされています。

何が新しく分かったのか

非ラテン文字の改ざんに「AI特有のほころび」が出る

論文は、大規模マルチモーダルモデルが非ラテン文字(漢字・かな等を含む多言語の文字)を改ざんする際に、字形が崩れる典型的な失敗を「Script-Dependent Generative Instability(SDGI)」と名づけています。裏を返せば、日本語の身分証を狙うAI改ざんには、文字のわずかな不自然さという検出の手がかりが残りうるということです。ただしこれは現時点の傾向であり、モデル改良で解消されていく可能性も否定できません。

最新モデルでも運用条件では取りこぼしが多い

論文が指摘する最大の論点は、ベンチマーク(2019〜2025年のデータセット)と実運用の間に横たわる「Reality Gap(現実とのギャップ)」です。未学習の攻撃に対するゼロショット評価では、公開されている最強クラスのモデルでも、セキュリティ重視の運用条件下でAPCERが25%を超えたと報告されています。

APCER(Attack Presentation Classification Error Rate)は、平たく言えば「攻撃を本物と誤って通してしまう割合」です。これが25%超ということは、4件の攻撃のうち1件以上をすり抜けさせてしまう計算になります。検出AIを入れても「これで安心」とは言えない、というのが研究からの率直なメッセージです。

情シスの実務にどう効くか

この研究は海外の学術サーベイですが、日本の実務にそのまま刺さります。背景にあるのが、2027年4月に予定される犯収法(犯罪収益移転防止法)の改正です。報道・解説によれば、改正では本人確認書類の画像送信方式(いわゆる「ホ方式」)や写しの送付を原則廃止し、マイナンバーカードの公的個人認証(ICチップ読取)に原則一本化する方向とされています。銀行・証券・不動産・貴金属等の取扱事業者などが対象に含まれます。

つまり制度側は、「画像を見て判断する本人確認」から「ICチップという偽造困難な根拠に基づく確認」へと舵を切ろうとしています。今回の論文が示した「画像ベースの検出には限界がある」という技術的な結論と、規制の方向性はきれいに一致しています。

自社が対象事業者でなくても、オンラインの口座開設・会員登録・入社時の身元確認などで身分証画像のアップロードを受け付けている業務があれば無関係ではありません。以下のような観点で棚卸しをしておくとよいでしょう。

  • 身分証の画像アップロードだけで重要な手続きを完結させていないか(後段の追加確認はあるか)
  • カメラ入力を迂回する注入攻撃への耐性(仮想カメラ・APIへの直接投入)を確認しているか
  • ICチップ読取や公的個人認証など、偽造困難な確認手段へ寄せられる業務はないか
  • 本人確認は入口の一点に頼らず、取引後のモニタリングや多要素認証(MFA)と組み合わせて多層で守れているか

現場目線の所感

正直なところ、現場では「身分証の写真をアップしてもらう」方式が手軽で、業務にすっかり組み込まれています。しかし今回の研究を読むと、その手軽さの土台が生成AIによって崩れつつあるのを実感します。検出AIを追加すれば数字上はマシになりますが、APCERが25%超という数字を見せられると、「導入したから大丈夫」と経営層に言い切るのは危ういと感じます。むしろ、検出精度の追いかけっこに投資し続けるより、そもそも偽造しにくい確認手段(ICチップ・公的個人認証)へ業務を寄せていくほうが、限られた人員での運用としては現実的だと考えます。攻撃側だけがAIで加速し、守る側は目視と限られた検出ツールで踏ん張る——このもどかしい非対称を、制度改正を追い風に整理し直したいところです。

限界・留意点

  • 本論文は査読前のプレプリントであり、示された数値や分類は今後変わりうる。単一のサーベイを過度に一般化しない。
  • APCERの値は評価データセットや運用条件に依存する。「どんな検出も25%失敗する」という意味ではない点に注意。
  • 「非ラテン文字の崩れが手がかりになる」という指摘も現時点の傾向で、モデル進化で失われうる。検出の頼みの綱にはしにくい。

対策の基本は公的指針に沿って

個別の検出製品を追う前に、まずは本人確認・なりすまし対策の全体像を公的な指針で押さえるのが近道です。制度面は金融庁・警察庁など所管当局の犯収法関連情報を、組織的な対策や従業員啓発はIPA「中小企業の情報セキュリティ対策ガイドライン」IPA「対策のしおり」を出発点にするとよいでしょう。技術的な検出だけに頼らず、地道な業務フローの見直しと、担当者・利用者への啓発を組み合わせることが、なりすまし対策の土台になります。

まとめ

  • 生成AIにより身分証攻撃は「提示・注入・生成合成」の3類型へ拡大し、素人でも高精度な偽造が可能になった。
  • 最新の検出モデルでも、運用条件下ではAPCERが25%超(攻撃の1/4以上を取りこぼす)と報告され、画像ベース検出の限界が示された。
  • 2027年の犯収法改正はICチップ読取への一本化を志向しており、情シスは「偽造困難な確認手段」へ業務を寄せる発想が重要。

出典

関連記事:防災メール悪用でフィッシング、なりすまし対策の要点多要素認証(MFA)とは?仕組みと突破手口を解説AIエージェントのセキュリティ 研究が示す4つの弱点標的型攻撃とは?手口と情シスの対策をわかりやすく解説

タイトルとURLをコピーしました