「生体認証を回避せよ」 テレグラムで売買されるKYC突破サービスの実態

カンボジアのマネーロンダリング拠点の内部で、従業員がスマートフォンで人気のベトナムの銀行アプリを開く。アプリはアカウントに関連付ける写真のアップロードを求め、彼は30代のアジア系男性の写真を選択する。

次にアプリは、動画による「生体」チェックのためカメラの起動を要求する。詐欺師は、アカウント所有者とはまったく似ていない女性の静止画像を掲げる。90秒の待機の後、アプリがフレーム内で顔位置の調整を指示する間に、ログインに成功する。

サイバー詐欺研究者ヒエウ・ミン・ゴーが共有した動画で実演されたこの攻撃手法は、「顧客確認（KYC：Know Your Customer）」の顔認証スキャンを突破するために設計された、不正ハッキングサービス群の一つによって実現されている。これらのサービスはテレグラム上で容易に購入可能だ。

これらの銀行および暗号資産のセキュリティ対策は、アカウントが実在の人物に属し、ユーザーの顔が口座開設時に提出された身分証明書と一致することを確認する目的で導入されている。しかし詐欺師はこれを回避し、ミュール口座の開設や資金洗浄を実行している。生体チェックにライブのカメラ映像を用いる代わりに、こうした手法では通常「バーチャルカメラ」と呼ばれるツールを使用する。これにより、動画ストリームを別の動画や画像（実在人物、ディープフェイク、さらには物体）に置き換えることが可能となる。

金融機関がサイバー詐欺対策としてセキュリティを強化する中、これらの回避手法は犯罪組織と金融業界の間で繰り広げられる「いたちごっこ」の最新局面となっている。

今年初めの2カ月間にわたる調査で、MITテクノロジーレビューは、回避キットや盗まれた生体認証データを宣伝する中国語・ベトナム語・英語の公開テレグラム・チャンネルおよびグループを22件特定した。これらのソフトウェア・キットは、スマートフォンのOSや銀行アプリを侵害する複数の手法を用い、バイナンス（Binance）のような主要な暗号資産取引所からスペインのBBVAのような銀行まで、金融機関のコンプライアンス・チェックを回避できると主張している。

「銀行サービス専門：汚れた資金の処理」。カンボジアのマネーロンダラーが使用したプログラムのテレグラムのプロフィールには、親指を立てた絵文字とともにこう記されていた（現在は削除されている）。「安全。プロフェッショナル。高品質。」一部のチャンネルやグループは数千人規模の登録者を持ち、サービス内容（「あらゆるKYC認証サービス」「すべてスムーズかつシームレス」）を列挙し、成功したとされるハッキング動画を投稿していた。

テレグラムは、これらのアカウントを審査した結果、利用規約違反のため削除したと述べている。しかし、この種のオンライン市場は容易に再生・拡散し、類似のツールを宣伝する複数のチャンネルやグループが現在も活動を続けている。

銀行と詐欺

KYC回避の増加は、「豚の屠殺」と呼ばれるサイバー詐欺の世界的産業の拡大と並行して進行している。世界中の暗号資産プラットフォームや銀行は、こうした詐欺による利益を含む不正資金の流れに関して、監視強化の圧力に直面している。その結果、ベトナムやタイなどでは銀行規制が強化され、顧客確認や不正監視の要件が厳格化されるとともに、暗号資産分野におけるマネーロンダリング対策の強化が進められている。

米国のブロックチェーン分析企業チェイナリシス（Chainalysis）は、2025年に暗号資産詐欺と不正行為で約170億ドルが盗まれ、2024年の130億ドルから増加したと推定している。一方、国連薬物犯罪事務所は最近の報告書で、アフリカと太平洋地域でのアジア詐欺シン …

人気の記事ランキング

1. Desalination plants in the Middle East are increasingly vulnerable 飲料水の9割を賄う 中東の「水の命綱」 淡水化施設が紛争の標的に
2. Desalination technology, by the numbers 世界の淡水化施設の27%が集中、数字で見る中東の水インフラ事情
3. Four things we’d need to put data centers in space スペースXがぶち上げた 宇宙データセンター構想、 実現に4つのハードル
4. Fuel prices are soaring. Plastic could be next. エネルギー転換より難しいプラ問題、ホルムズ危機であらわに