「ライブネスチェック」が90秒で突破される現実

カンボジアのマネーロンダリングセンターで、一人の従業員がベトナム系銀行アプリを開く。本人確認のため顔写真のアップロードを求められると、アカウント所有者とは似ても似つかない女性の静止画を差し出す。それでも「ライブネスチェック(本人がカメラの前にいることを確認する動的検証)」を90秒でパスしてしまった——MIT Technology Reviewがサイバー詐欺研究者への取材をもとに報じた、衝撃的な事例だ。

この手口の核心は「仮想カメラ(Virtual Camera)」ツールにある。スマートフォンのカメラ入力を乗っ取り、ライブ映像の代わりに任意の静止画や動画を差し込める。ディープフェイク映像を使えば精度はさらに上がる。そしてこうしたバイパスツールが、Telegramの公開チャンネルで堂々と販売されている。

Telegramに22チャンネル——Binanceや大手銀行も標的

MIT Technology Reviewは約2ヶ月の調査で、中国語・ベトナム語・英語の22チャンネル・グループを特定した。Binanceのような主要暗号資産取引所から、スペインのBBVAといった名だたる銀行まで、幅広いKYC(Know Your Customer)検証をバイパスするキットが出品されていた。

「銀行サービス専門——汚れた金を扱います。安全・プロ・高品質」と書かれたTelegramの自己紹介文まで存在した。Telegramは報告を受けてアカウントを削除したと述べているが、類似のマーケットプレイスはすぐ復活する構造的問題がある。

こうした悪用の背景にあるのが「ピッグ・ブッチャリング(豚の丸焼き)詐欺」と呼ばれる手口の拡大だ。仮想通貨詐欺・不正送金の被害額は2025年に約170億ドル(約2.5兆円)に達し、前年の130億ドルから急増。東南アジアのアフリカ・太平洋地域への拡大も国連薬物犯罪事務所(UNODC)が警告している。

なぜこれが重要か——生体認証への「過信」が最大のリスク

KYCの顔認証・ライブネスチェックは、金融犯罪対策の「最後の砦」として多くの金融機関が採用を進めてきた。日本でも犯罪収益移転防止法(犯収法)に基づくeKYCが普及し、スマートフォンで完結する本人確認が標準になりつつある。

問題は、こうした仕組みへの信頼が「技術的に突破不可能」という前提の上に成り立っていることだ。仮想カメラツールの存在が示すのは、OSレベルのカメラ入力を制御できれば、アプリ側のチェックはほぼ無力化できるという現実だ。Androidの場合はルート化・カスタムROMの悪用、iOSでも一部ジェイルブレイクやAPIフックによる攻撃ベクターが存在する。

実務への影響——IT管理者・セキュリティ担当者が取るべきアクション

1. eKYC導入・見直し時は「デバイス整合性検証」を必須要件に

ライブネスチェック単体ではなく、デバイスの完全性(root化・ジェイルブレイク検知、Play Integrity API / App Attest)の確認をセットで実装しているかを確認すること。バイパスツールはOS層への介入が前提なので、デバイス整合性チェックが最初の防衛線になる。

2. 行動ベースの異常検知を組み合わせる

顔認証の一点突破ではなく、ログイン時刻・場所・操作パターンといった行動分析との組み合わせが現実的な対策。単一の認証強化に頼ると、その手法が破られた瞬間に全体が崩れる。

3. Telegramを「脅威インテリジェンス」として監視する

セキュリティチームは、Telegramの日本語・英語・中国語チャンネルを脅威インテリジェンスの観測対象に加えることを検討したい。攻撃ツールの販売動向をモニタリングすることで、新たなバイパス手法の事前察知が可能になる。

  1. 「禁止」より「仕組みの多重化」

技術的な制限だけで詐欺を止めようとする発想には限界がある。不正が起きた場合の検知・追跡・通報の仕組みを整備し、攻撃者にとって「やり得」にならない環境を作ることが本質的な対策だ。

筆者の見解

生体認証の普及は確かに本人確認の利便性を大きく向上させた。だが今回の報告が突きつけるのは、「認証の強化」と「認証の突破」は常に同時進行するという、セキュリティの根本的な宿命だ。

特に懸念しているのは、eKYCを「導入した=対策済み」と思っている組織が多いことだ。技術は導入した瞬間から陳腐化が始まる。仮想カメラによるバイパスは今に始まった話ではなく、以前からセキュリティ研究者の間では知られていた手口だ。それが「Telegramで堂々と売られる商品」になったという事実は、攻撃の民主化・低コスト化が相当進んでいることを意味する。

筆者が繰り返し言ってきた「禁止ではなく、安全に使える仕組みを」という原則は、ここでも当てはまる。攻撃側は常に最も弱いリンクを探す。防衛側がすべきは特定の手口を塞ぐことではなく、攻撃が成立しても被害が最小化される多層防御の設計だ。

170億ドルという被害額の重さを日本の組織は自分事として受け止め、eKYC基盤の再点検と監視体制の強化に今すぐ取り組んでほしい。

出典: この記事は Cyberscammers are bypassing banks’ security with illicit tools sold on Telegram の内容をもとに、筆者の見解を加えて独自に執筆したものです。