地下市場がデジタル金融の中核的な信頼メカニズムの一つを標的にしている
MIT Technology Reviewによると、詐欺師たちはTelegram上で売買される違法ツールを使い、銀行や暗号資産プラットフォームで用いられる本人確認、特に「Know Your Customer」またはKYCの顔認証を回避している。同誌の調査では、回避キットや盗まれた生体データを宣伝する中国語、ベトナム語、英語の公開Telegramチャンネルとグループ22件が特定された。これらのツールは、口座が実在の人物に属すること、そして利用者の顔が当初提出された身分証明書と一致することの両方を確認するはずのコンプライアンス・システムをすり抜ける手段として提示されている。
その含意は深刻だ。KYCチェックは、デジタル金融が不正、口座売買、資金洗浄を検知する仕組みの基盤だからだ。そうした確認手段が、メッセージング・チャネルを通じて公然と売買される商品へと変わるなら、一見するとセキュリティ層であるものが、犯罪専門家にとっての市場機会として機能し始める可能性がある。これは単なる巧妙な悪用事例ではない。身元回避のための供給網の話だ。
報道は、その懸念を鮮明な例で裏づけている。カンボジアのマネーロンダリング拠点で活動する詐欺師が、ベトナムの銀行アプリを実演している。そのアプリは口座に紐づいた写真と、その後に生体確認の動画を求める。ところが、正規のライブ映像を使う代わりに、詐欺師は不一致の画像を用いても通過してしまう。調査によれば、これは多くの回避キットが、仮想カメラの手法を使って、期待されるライブカメラ映像を別の動画や画像に置き換えることで可能になっている。
脆弱性は「生体確認」が端末レベルで偽装され得る点にある
提示された文面の重要な技術的ポイントは、こうしたツールが通常、プラットフォーム上で実在の利用者を完璧に模倣して生体認証を破るわけではないということだ。むしろ、スマートフォンのOSやアプリ環境を改ざんし、カメラ映像そのものを差し替えられるようにしている。いったん生体確認が偽の入力をリアルタイム動画だと受け入れてしまえば、以後のセキュリティ手順は崩れかねない。
これは、多くの利用者が顔認証はパスワードや単純な書類アップロードより本質的に強いと考えているから重要だ。原理的には、しばしばその通りだ。しかしMIT Technology Reviewの報道は、その有効性が端末とアプリのパイプラインの完全性に大きく依存していることを示している。詐欺師がアプリに見えるものを制御できるなら、顔認証は生体的な防御策というより、ツールや不正サービスに弱い表示確認テストに近づく。
調査によれば、こうしたキットは、Binanceのような主要な暗号資産取引所から、スペインのBBVAを含む銀行まで、さまざまな機関を標的にすると主張している。中には何千人ものメンバーや購読者がいたチャンネルもあった。チャンネル内のすべての主張が真実とは限らないとしても、資料に記された宣伝の規模は、懸念に値するほど成熟した市場の存在を示している。
