自分を“自分”であるとどう証明すればいい？ 悪用が進む「当人認証」を考える

ワークスタイルテックは顧客データの漏えいを公表した（出典：ワークスタイルテックのWebサイト）

　また悩ましい事件が発生しました。ワークスタイルテックの2024年3月29日の発表によると、同社が保存していた「お客様がアップロードした各種身分証明書（マイナンバーカード、運転免許証、パスポート等）、履歴書等の画像」が、確認されただけでも15万4650人分ダウンロードされていたことが明らかになりました。

　これは2021年5月に発生した、ネットマーケティングが運営するマッチングアプリ「Omiai」のインシデントに類似しています。身分証明書の画像そのものが流出するという、新たな事件に発展し得る大きな問題です。

　2024年3月には、札幌市内で被害者名義の銀行口座が勝手に作成されていたという特殊詐欺が報告されています。このとき、攻撃者は被害者の顔とマイナンバーカードを、スマートフォンのビデオ通話を通じて写すという大胆な手法で口座を作成したとされており、こちらも大きな話題になりました。

　攻撃者の一部は、何らかの方法で身分証明書の画像を奪ったり、オンラインでの当人認証のための手法、いわゆる「eKYC」を攻略したりしています。この問題は結論から言うと利用者だけで何とかできるものではないため、社会全体で対処が必要な事案といえるでしょう。

●狙われるのはセキュリティが甘いeKYC実施事業者か

　これまでは窓口に出向いて運転免許証や住民票、戸籍などを提示する必要があった事務的な処理も、今ではオンラインで申請できることが増えてきています。最近では銀行口座もスマートフォンのアプリを通じて、オンラインで開設できるところも多いようです。

　ただ、そのとき問題になるのはスマートフォンの向こう側にいるのが、本当に契約者本人かどうかという点です。非対面の場合に契約者本人かどうかを確認する要素としては「身元確認」と「当人認証」が挙がるでしょう。

　身元確認とは本人が実在することを証明するものです。これは、本人確認書類が偽造されていないかどうかでチェックできます。もう一つの当人認証は、生体情報や所有情報、知識情報などから、申請者が本人であるとチェックすることを指します。

　では攻撃者の立場から、この確認と認証をすり抜けるにはどうすればよいでしょうか。身元確認は、運転免許証やマイナンバーカードの“見た目”を偽造し、厚みのある素材で作ってしまえば、カメラに写ったものが本物であるように見せられるでしょう。

　当人認証については、本人しか記憶していないパスワードを盗み出すことは今の時代もはや難しくはないかもしれません。しかし指紋や顔といった生体情報を盗むことは困難ですし、本人だけが持つマイナンバーカードや運転免許証を盗むことも難しいでしょう。