Deepfakeを用いたe-KYCに対するなりすまし攻撃と対策の検討

抄録

e-KYCとは、インターネット越しの画像/映像で本人確認を行い、金融機関の口座開設の手続きを非対面で行なう仕組みのことである。本稿では、Deepfakeを用いて他人の顔になりすますことで、e-KYCなどの顔画像/映像を用いた本人確認に対してなりすまし攻撃ができるかの実験を行った。本稿の実験では、実システムに対してではなく、OSSをベースに独自に作成したe-KYCシステムに対して、運転免許証の写真とDeepfakeでなりすました人物の顔画像/映像が同一人物かの判定を行うものとした。より具体的には、システム側からe-KYC対象者に対して、顔を傾けるなどのランダムな動作を指示し、顔画像とこれら動作の認証を行い、本人性を確認する。実験の結果、なりすまし攻撃が成功し、これによりDeepfakeによるe-KYCへの攻撃が現実的な脅威であることが判明した。また本稿では、この攻撃に対していくつかの対策技術を検討した結果をまとめる。