~不正利用の手口と本人認証に潜む落とし穴~eKYCを用いた最新対策を徹底解説

2026年1月26日

オンライン決済事業を狙った不正取引が増加する中、本人確認の重要性が高まっています。不正取引の例を挙げると、他人名義のクレジットカードの利用や転売目的の偽アカウントの作成などがあり、対策として「本人確認」以外にも「身元確認」や「当人認証」といった考え方も用いられるようになりました。

「身元確認(本人特定事項の確認)」は、公的な身分証明書類を所持していることを指し「当人認証」は当人しか持たない情報や身体的特徴の情報を用いて同一であることを確認する手法です。これらを総称して「本人認証」と定義されています。近年では、こうした本人確認をオンラインで完結するeKYCが普及してきました。

本記事では、オンライン本人確認におけるリスクやeKYCの仕組みについて詳しく解説します。

本人確認に関する法律

本人確認に関連した業態による法律としては、下記のようなものが挙げられます。
  • 犯罪収益移転防止法
  • 携帯電話不正利用防止法*1
  • 古物営業法*2
  • 資金決済法
  • 出会い系サイト規制法
  • 出入国管理法
  • 住宅民泊事業法(民泊新法)*3
  • 未成年者喫煙禁止法*3
  • 未成年者飲酒禁止法*3

*1:主に通信事業者が該当する
*2:資金決済法では銀行などを除く事業者が100万円以下の「為替取引」を行うことを、資金移動業と定め、本人確認を義務付けている
*3:法規制はあるも具体的手法は規定なし

犯罪収益移転防止法は2013年以降に施行され、下記を代表とする特定事業者が対象となっており、金融事業者の多くが該当します。
  • 犯罪収益移転防止法の特定事業者
  • 金融機関等
  • ファイナンスリース事業者
  • クレジットカード事業者
  • 宅地建物取引業者
  • 司法書士・司法書士法人
  • 宝石・貴金属等取扱事業者
  • 郵便物受取サービス業者
  • 電話受付代行業者
  • 電話転送サービス事業者
  • 弁護士・弁護士法人
  • 行政書士・行政書士法人
  • 公認会計士・監査法人 
  • 税理士・税理士法人
  • 不動産特定共同事業者 等
犯罪収益移転防止法における非対面の本人確認について、主な改正内容として以下2つがあげられます。

従来:「本人確認書類」の写し1点と転送不要郵便の受け取り
2018年11月の改正:オンラインの本人確認も認められ、郵便は不要に
2020年4月の改正:郵便利用の場合の「本人確認書類」の写しが1点から2点へ厳格化

 

このように、法改正や時代背景に伴いニーズが高まっている非対面での本人確認について、どのよう対応していけばよいのでしょうか。

 

~ 犯収法(犯罪収益移転防止法)についてより詳しく知りたい方は、以下の記事もご参照ください。~

【2027年4月改正予定】犯収法(犯罪収益移転防止法)とは?本人確認について解説

多要素認証

認証を行う際は、多要素での認証がセキュリティの観点で推奨されています。多要素認証とは認証の3要素である知識情報、所持情報、生体情報のうち、2つ以上を組み合わせ行う認証のことです。オンライン取引でよくみる認証パターンとしては「ユーザーID+パスワード」「メールアドレス+パスワード」などが挙げられます。

多要素認証

しかし、このような知識だけの認証は「ブルートフォースアタック(総当たり攻撃)」や「属性情報からの推測」などで突破されてしまう確率が高いとされています。 では、どのような要素を使った認証が適切なのでしょうか。

所持情報

所持情報を活用した認証は、本人しか所持していないもの(カード番号、ハードウエアトークン、乱数表カード等)と知識情報と組み合わせて多要素認証を実現します。このように所持情報を追加した認証では、下記のような効果が期待されます。

  • ブルートフォースアタックで回数内に突破されることを防ぐ
  • ハードウェアトークンで突破しようとしている間に、現在時刻を利用したアルゴリズムによる番号変更で時間的に突破を防ぐ
しかしこれらの所持情報は、下記のようなデメリットがあります。
  • 悪意ある第三者に盗まれてしまうと不正が可能
  • 専用機器を携帯しなければならないという不便さ
  • 専用機器であるがゆえに、盗難に気付きにくい

では、生体情報はどうでしょうか。生体情報は本人であるということを直接的に証明する要素であるため、なりすまし防止に有効な手法です。生体情報では下記のような要素が挙げられます。

◆生体情報

1 指紋 手軽で信頼性の高い認証方式
2 DNA 血液や唾液など体の一部分のサンプル取得し鑑定を行う方法
3 掌形 手のひらの幅や、指の長さなどを用いて認証する方法
4 網膜 眼球の奥に位置する目の網膜の毛細血管のパターンを認識する方法
5 虹彩 眼球の表面に位置する虹彩パターンの濃淡値のヒストグラムを用いる認証方式
6 顔の画像から目の位置等の特徴を取得し認証する方法
7 血管 近赤外光を手のひら等に透過させて得られる静脈パターンで認証する方法

専用ハードウェアーを用いれば様々な認証が実現ができますが、オンラインサービスでは主にスマートフォンのセンサーで取得可能な情報に限られます。

スマートフォンのカメラや指紋センサーで利用できる生体認証はカメラや指紋センサーを用いた「指紋」「顔」などが中心で、解像度や実用性の観点からも実用的です。生体情報は所持情報と異なり盗難されにくく高いセキュリティを持つ一方、完全に偽装を防げるわけではありません。

また、偽装対策として判定基準を厳しくすると、正規ユーザーが認証に失敗する可能性もあります。生体認証では、セキュリティと精度とユーザビリティがトレードオフの関係になるという点を理解しておくことが大切です。

◆生体認証の偽装例
要素 偽装(造)例
写真、動画、CG(ディープフェイク)
指紋 ゼラチン指、3Dプリンタ
虹彩 赤外線カメラの写真
静脈認証 透明度の高い紙に、パターンを印刷。その上からLEDライトで赤外線をあて、指2本を紙の上から触れる
◆生体情報を活用した認証の特徴
  • 本人であるということを直接的に証明する
  • ハードウェアのセンサーに精度が依存する
  • 偽造ができないわけではない
  • 指紋情報等が漏洩すると変更ができないので危険性が高い
ハードウェアのセンサーに精度が依存するということがありますが、ここで認証したいのは「画面の向こうで本人が利用していること」です。多要素認証として、一つ以上の固有のハードウェア情報を利用している状態と言えます。 ハッカーは固有のハードウェア情報が入った時点で、オンラインで完結したハッキングが不可能となります。また所持や生体情報は、プロファイルの量産が難しいためセキュリティは高くなりますが、ハードウェアを盗む・生体を偽装できる組織であれば、認証突破は可能です。

多要素認証のまとめ

要素 カテゴリ 本人との関係性
知識情報 記憶→数字、記号化(ソフトウェア) 本人のみ記憶
所持情報 物質的なもの→数字、記号化(ハードウェア) 本人のみ所持
生体認証 身体的特徴→数字、記号化(ハードウェア) 本人のみの特徴
では複数の要素を用いるのではない「2段階認証」はどう定義されるのでしょうか。 2段階認証とは、1回認証した後に、さらに2回目の認証を行う方式です。 よく見かけるのは端末からID・パスワード等を入力、認証後に発行される認証コードやワンタイムパスワード等を再度入力するといった方法ではないでしょうか。 広義においては、以下例すべてが2段階認証と言えます。
2段階認証

これらの認証の中ではメールアドレス(知識情報)、パスワード(知識情報)、SMS認証コード(所持情報)を組み合わせた例3が最もセキュリティが高いと考えられます。例2で用いられているEメールで認証コードを通知する方法は、特定の端末でのみ受信できる情報ではありません。

一方で、SMSで送信される認証コードを受信できるのは特定の携帯電話であるため、その携帯電話を所持していることが確認でき、「所持情報」の一つとして考えることができます。

SMSを利用した2段階認証は、「所持情報」により多要素化ができる点や、紛失に気づきやすい点において、ユーザビリティとセキュリティを両立できる便利な認証方法であると言えます。SMSによる認証も、2016年7月に米NIST(国立標準技術研究所)の見解では、安全ではないという見解を示しています。

その理由は以下の3つの懸念によるものです。 確かに懸念はあるものの国内においては、利用しやすい認証として現在も広く普及しているのが実態となります。

SMSによる二要素認証の懸念点
  • ロックされたデバイスの画面へ認証コードが表示される
  • 「SIMスワップ」というなりすましが可能
    利用者がSIMカードを紛失・破損したときに通信事業者に連絡し、別のSIMカードに電話番号を移してもらう
  • 「SMSインターセプト」
    マルウェアやスパイウェアなどによりSMSの内容を傍受したり、ネットワーク上からデータを盗む
ではこれらの認証を踏まえて犯罪者が狙うポイントと、犯罪を防ぐ方法はどういったものがあるでしょうか。 まず、不正が狙われるポイントとしては下記の2点が挙げられます。
  • プロファイル(人物・アカウント)が量産可能
  • 高額な資金横領ができる

身元確認、つまり「実在性の確認」が不十分なサービスは、犯罪者にとってアカウントを大量に作成しやすく、不正行為の暗証となります。さらに、高額な不正利益が見込める場合は、資金力のある犯罪組織が所持情報・生体情報を偽装するケースも想定されます。

実際、近年発生している不正取引は、こうした脆弱性を突いたものです。実在する人物を装うような手口は防ぐことは安易ではありませんが、犯罪を防ぐには以下のポイントを踏まえたサービスを設計が重要になります。

  • 犯罪収益移転防止法に準拠した身元確認が行われているか
  • 取引時確認(当人認証)を認証方法、使用する要素の特徴を理解する
  • 本人確認を行った同一人物である確固とした裏付けがあるか
    • -①本人確認をした本人しか知りえない情報を知っている
    -②本人確認をした本人しか持っていないものを持っている
    -③本人確認をした際と本人の身体的特徴が一致
    ①~③のうち2つ以上の組み合わせで認証を行う
現在のサービスの認証を強化したい、新しいオンラインサービスを始めたいという方にとって、SAAS型で提供されるeKYCツールは大変便利です。 本人認証を活用した犯罪防止に関するご相談や、eKYCツールについてご不明点・ご相談がある場合はお気軽にお問い合わせください。

eKYCについてより詳しく知りたい方へ

こちらの記事もおすすめです。

eKYCとは?オンライン本人確認の概要や対応方法を解説

 

機能は本当に必要なものだけ!開発不要・導入が簡単なオンライン本人確認「ProTech ID Cheker」 機能は本当に必要なものだけ!開発不要・導入が簡単なオンライン本人確認「ProTech ID Cheker」
eKYCサービスの特徴
  • 安心・品質の高く、多機能であらゆる本人確認に対応
  • 開発不要!最短1週間で導入可能です
  • AIによる申込情報と本人確認書類の情報を自動で突合し自動で審査が完了
eKYCサービスの詳細を見る 無料資料請求はこちら
"サービスが分かる"資料請求はこちら
ProTechコラム編集部
  • ProTechコラム編集部

  • eKYCツールProTech ID Checker」を提供する株式会社ショーケースのeKYCコラム編集部です。実際にeKYCを日々営業活動&製品提供するスタッフがコラムの執筆から編集まで行っています。

    このコラムではProTech ID CheckerProTech AI-OCRに関わる、法令・商品の機能・導入事例や統計などをまとめて随時提供していきます。