~不正利用の手口と本人認証に潜む落とし穴~eKYCを用いた最新対策を徹底解説

はじめに

昨今オンライン決済事業を狙った不正取引が多発し、ニュース等でも取りざたされています。
こういった不正取引の原因として、本人確認の不十分さが取り上げられていましたが、「本人確認」以外にも「身元確認」や「当人認証」という一般にはあまりなじみのない表現も利用されるようになりました。
ではこれらは何が違い、犯罪を防ぐにはどういった方法があるのでしょうか。

もともと本人確認に関する法律といえば「犯罪による収益の移転防止に関する法律」が代表的で、本人確認については、「本人特定事項の確認」や「取引時確認」等という言葉で表現されていました。
いっぽう「身元確認」と「当人認証」といった言葉が経済産業省の検討等で使われており、これらをあわせて「本人認証」と定義しています。

「本人特定事項の確認」「身元確認」とは公的な身分証明書類を所持していることを確認し、かつ身分証に記載されてる住所に居住していることを確認することであり、さらにこれらをすでに行っている事業者へ照会をおこない確認する方法も認められています。

「取引時確認」「当人認証」とは当人しか知らない/当人のみ持っている/当人だけの身体的特徴の情報を用いて身元確認を行った人物と同一であることを確認することとされています。

また、最近ではKYCという言葉も使われており、これは「Know Your Customer(顧客を知る)」という意味で、いわゆる本人確認という事になります。
更に頭にe(electronic)という文字が加わりeKYC、つまり”電子的な本人確認”という言葉が使われるようになりました。

本人確認に関する法律

本人確認に関連した業態による法律としては、下記のようなものが挙げられます。

  1. 犯罪収益移転防止法
  2. 携帯電話不正利用防止法*1
  3. 古物営業法*2
  4. 資金決済法
  5. 出会い系サイト規制法
  6. 出入国管理法
  7. 住宅民泊事業法(民泊新法)*3
  8. 未成年者喫煙禁止法*3
  9. 未成年者飲酒禁止法*3

*1:主に通信事業者が該当する
*2:資金決済法では銀行などを除く事業者が100万円以下の「為替取引」を行うことを、資金移動業と定め、本人確認を義務付けている
*3:法規制はあるも具体的手法は規定なし

犯罪収益移転防止法は2013年以降に施行され、下記を代表とする特定事業者が対象となっており、金融事業者の多くが該当します。

  • 犯罪収益移転防止法の特定事業者
  • 金融機関等
  • ファイナンスリース事業者
  • クレジットカード事業者
  • 宅地建物取引業者
  • 司法書士・司法書士法人
  • 宝石・貴金属等取扱事業者
  • 郵便物受取サービス業者
  • 電話受付代行業者
  • 電話転送サービス事業者
  • 弁護士・弁護士法人
  • 行政書士・行政書士法人
  • 公認会計士・監査法人 
  • 税理士・税理士法人
  • 不動産特定共同事業者 等

犯罪収益移転防止法における非対面の本人確認について、主な改正内容として以下2つがあげられます。

従来:「本人確認書類」の写し1点と転送不要郵便の受け取り
2018年11月の改正:オンラインの本人確認も認められ、郵便は不要に
2020年4月の改正:郵便利用の場合の「本人確認書類」の写しが1点から2点へ厳格化

このように、法改正や時代背景に伴いニーズが高まっている非対面での本人確認について、どう対応していけばいいのでしょうか。

多要素認証

まず認証を行う際は、「多要素での認証」がセキュリティの観点で推奨されています。

多要素認証とは認証の3要素である「知識情報」、「所持情報」、「生体情報」のうち、2つ以上を組み合わせ行う認証のことです。

オンライン取引でよくみる認証パターンはユーザーID+パスワード、メールアドレス+パスワード等、知識情報の組み合わせが多く、この多要素認証にあてはまっていない場合があります。

多要素認証

このような知識だけの認証は、「ブルートフォースアタック(総当たり攻撃)」や「属性情報からの推測」などで突破されてしまう確率が高いとされています。

こういった攻撃を防ぐためにも多要素認証が推奨されています。

では、実際にどういった要素を使って認証をおこなうのか見ていきたいと思います。

まず、所持情報を活用した認証ですが、知識情報と組み合わせ多要素認証を実現します。

所持情報としては、本人しか所持していないもの(カード番号、ハードウエアトークン、乱数表カード等)が挙げられます。

所持情報

このように所持情報を追加した認証では、下記のような効果が期待されます。

  • ブルートフォースアタックで回数内に突破されることを防ぐ
  • ハードウェアトークンで突破しようとしている間に、現在時刻を利用したアルゴリズムによる番号変更で時間的に突破を防ぐ

しかしこれらの所持情報は、下記のようなデメリットがあります。

  • 悪意ある第三者に盗まれてしまうと不正が可能
  • 専用機器を携帯しなければならないという不便さ
  • 専用機器であるがゆえに、盗難に気付きにくい

では、生体情報はどうでしょうか。

生体情報は本人であるということを直接的に証明する要素であるため、なりすまし防止の効果が高く、なりすましを防ぎたい際には有効だと考えられます。

生体情報では下記のような要素が挙げられます。
センサーの専用ハードウェアーを考慮すれば様々な認証が実現ができますが、
オンラインサービスにおいてはデバイス(主にスマートフォンのセンサー)で検知できる情報に限られます。
スマートフォンのカメラ、指紋センサー等の機能から利用できるのは、指紋・顔・掌形・虹彩あたりとなります。
さらに画像の解像度等を考えると、掌形・虹彩は厳しくなり、実態的には指紋、顔あたりが実用的だと言えます。

1指紋手軽で信頼性の高い認証方式
2DNA血液や唾液など体の一部分のサンプル取得し鑑定を行う方法
3掌形手のひらの幅や、指の長さなどを用いて認証する方法
4網膜眼球の奥に位置する目の網膜の毛細血管のパターンを認識する方法
5虹彩眼球の表面に位置する虹彩パターンの濃淡値のヒストグラムを用いる認証方式
6顔の画像から目の位置等の特徴を取得し認証する方法
7血管近赤外光を手のひら等に透過させて得られる静脈パターンで認証する方法

生体情報は所持情報と比較し、奪うことができないためセキュリティは高いものの、偽装が完全に不可能ではないという点は忘れてはいけません。

また、偽装を防ぐために判定の基準を厳しくすれば、本当の本人であるのに認証されないというような事態も考えられます。

生体認証において、ユーザビリティと精度がトレードオフになるという点は抑えておくべきポイントと言えます。

〇生体認証の偽装例

要素偽装(造)例
写真、動画、CG(ディープフェイク)
指紋ゼラチン指、3Dプリンタ
虹彩赤外線カメラの写真
静脈認証透明度の高い紙に、パターンを印刷。その上からLEDライトで赤外線をあて、指2本を紙の上から触れる

生体情報を活用した認証の特徴

  • 本人であるということを直接的に証明する
  • ハードウェアのセンサーに精度が依存する
  • 偽造ができないわけではない
  • 指紋情報等が漏洩すると変更ができないので危険性が高い

ハードウェアのセンサーに精度が依存するということがありますが、ここで認証したいのは「画面の向こうで本人が利用していること」であるため、多要素認証として最低一つの固有のハードウェア情報を利用している状態と言えるでしょう。

ハッカーは固有のハードウェア情報が入った時点で、オンラインで完結したハッキングが不可能となります。また所持や生体情報は、プロファイルの量産が難しいためセキュリティは高くなりますが、ハードウェアを盗む・生体を偽装できる組織であれば、認証突破は可能です。

多要素認証のまとめ

要素カテゴリ本人との関係性
知識情報記憶→数字、記号化(ソフトウェア)本人のみ記憶
所持情報物質的なもの→数字、記号化(ハードウェア)本人のみ所持
生体認証身体的特徴→数字、記号化(ハードウェア)本人のみの特徴

犯罪者が狙うポイントと、犯罪を防ぐ方法

では複数の要素を用いるのではない「2段階認証」はどう定義されるのでしょうか。

2段階認証とは、1回認証した後に、さらに2回目の認証を行う方式です。

よく見かけるのは端末からID・パスワード等を入力、認証後に発行される認証コードやワンタイムパスワード等を再度入力するといった方法ではないでしょうか。

広義においては、以下例すべてが2段階認証と言えます。

2段階認証

これらの認証の中ではメールアドレス(知識情報)、パスワード(知識情報)、SMS認証コード(所持情報)を組み合わせた例3が最もセキュリティが高いと考えられます。

例2で用いられているEメールで認証コードを通知する方法は、特定の端末でのみ受信できる情報ではありません。

いっぽうでSMSで送信される認証コードを受信できるのは特定の携帯電話であるため、その携帯電話を所持していることが確認でき、「所持情報」の一つとして考えることができます。

SMSを利用した2段階認証は、「所持情報」により多要素化ができる点や、紛失に気づきやすい点において、ユーザビリティとセキュリティを両立できる便利な認証方法であると言えます。

しかしこの便利なSMSによる認証も、2016年7月に米NIST(国立標準技術研究所)の見解では、安全ではないという見解を示しています。

その理由は以下の3つの懸念によるものです。

確かに懸念はあるものの国内においては、利用しやすい認証として現在も広く普及しているのが実態となります。

〇SMSによる二要素認証の懸念点

  1. ロックされたデバイスの画面へ認証コードが表示される
  2. 「SIMスワップ」というなりすましが可能
    利用者がSIMカードを紛失・破損したときに通信事業者に連絡し、別のSIMカードに電話番号を移してもらう
  3. 「SMSインターセプト」
    マルウェアやスパイウェアなどによりSMSの内容を傍受したり、ネットワーク上からデータを盗む

犯罪者が狙うポイントと、犯罪を防ぐ方法

ではこれらの認証を踏まえて犯罪者が狙うポイントと、犯罪を防ぐ方法はどういったものがあるでしょうか。

まず、不正が狙われるポイントとしては下記の2点が挙げられます。

  1. プロファイル(人物・アカウント)が量産可能
  2. 高額な資金横領ができる

身元確認、つまり実在性の確認が甘く、アカウントが大量作れるサービスは、犯罪者にとっては非常に好都合なサービスと言えます。

また身元の確認が必要であっても、高額な資金横領ができる場合、資金力のある組織はお金をかけてでも所持情報・生体情報を偽装する方法を考えてくることが想定できます。

実際に昨今発生している不正取引は、どちらかに該当しているケースが多いと言えます。

資金力をかけ、実在する人物を完全に装うような手口はなかなか防ぐことが難しいかもしれません。

しかしながら犯罪を防ぐ、被害を最小限にするためには、以下のポイントに注意してサービスを設計しましょう。

  1. 身元確認(実在性の確認)をおこなう
    犯罪収益移転防止法レベルの身元確認がサービス全体の設計の中でしっかりと行われているか
  1. 取引時確認(当人認証)を認証方法、使用する要素の特徴を理解しておこなう
    本人確認を行った同一人物である確固とした裏付けがあるか
    ①本人確認をした本人しか知りえない情報を知っている
    ②本人確認をした本人しか持っていないものを持っている
    ③本人確認をした際と本人の身体的特徴が一致
    ①~③のうち2つ以上の組み合わせで認証を行う

現在のサービスの認証を強化したい、新しいオンラインサービスを始めたいという方にとって、SAAS型で提供されるeKYCツールは大変便利です。

本人認証を活用した犯罪防止に関するご相談や、eKYCツールについてご不明点・ご相談がある場合はお気軽にお問い合わせください。

オンライン本人確認/カンタンeKYCツール「ProTech ID Checker」

ProTech ID Checker

マネー・ローンダリングやテロ資金供与防止を目的とした「犯罪収益移転防止法」に準拠したオンライン本人確認/eKYCツールです。
セキュリティ対策は万全であり、厳しい検証プロセスに基づいたネットワーク・セキュリティを有する金融機関にもご採用いただいております。

サービスの特徴
・導入方法は対象ページにタグを設置するだけ。最短1週間で実装できます。
・また、既存のWEBサイト上で本人確認認証が完結します。
・ユーザーは専用アプリのインストールや別サイトでの確認も不要。
・ProTech ID CheckerはスピーディーかつカンタンにeKYCの導入を可能にします。