近年、ブラジルでは生体認証の導入が爆発的に増加しています。利便性とデジタルサービスにおけるセキュリティ強化への関心から、ブラジル人の82%が既に何らかの生体認証技術を認証に利用しています。顔認証による銀行アクセスや指紋認証による決済承認など、生体認証は個人識別における「新たなCPF」(ブラジルの納税者ID)となり、手続きをより迅速かつ直感的なものにしています。
しかし、詐欺の増加により、このソリューションの限界が露呈しました。2025年1月だけでも、ブラジルでは124万件の詐欺未遂が記録され、前年比41.6%の増加となりました。これは、2.2秒ごとに1件の詐欺未遂が発生していることを意味します。これらの攻撃の大部分は、特にデジタル認証システムを標的としています。Serasa Experianのデータによると、2024年には銀行やクレジットカードに対する詐欺未遂が2023年と比較して10.4%増加し、同年記録された詐欺全体の53.4%を占めました。
これらの詐欺が未然に防がれていなかった場合、推定516億レアルの損失が発生していた可能性があります。この増加は、詐欺師がかつてない速さで手口を進化させているという状況の変化を反映しています。Serasaの調査によると、2024年にはブラジル人の半数(50.7%)がデジタル詐欺の被害に遭っており、これは前年比9ポイントの増加です。また、被害者の54.2%が直接的な金銭的損失を被りました。
別の分析によると、2024年には国内のデジタル犯罪が45%増加し、被害者の半数が実際に詐欺に騙されるという。こうした数字を受けて、セキュリティ関係者は疑問を抱いている。生体認証がユーザーと機関の保護を約束しているのに、なぜ詐欺師は常に一歩先を行くのだろうか?
詐欺は顔認証や指紋認証を回避します。
その答えの一部は、デジタルギャングが生体認証メカニズムを回避する独創性にあります。ここ数ヶ月、象徴的な事例がいくつか発生しました。サンタカタリーナ州では、詐欺グループが顧客から顔認証データを密かに入手し、少なくとも50人を騙し取りました。通信会社の従業員が電話回線の販売を装い、顧客から自撮り写真や書類を盗み取り、後にそのデータを使って銀行口座を開設し、被害者の名義で融資を受けていたのです。
ミナスジェライス州では、犯罪者はさらに踏み込みました。郵便配達員を装い、住民から指紋や写真を採取し、銀行のセキュリティを回避することを明確な目的としていました。つまり、詐欺師たちは技術そのものを攻撃するだけでなく、ソーシャルエンジニアリングも利用し、人々に気づかれずに生体認証データを渡すように仕向けているのです。専門家は、堅牢とされるシステムでさえも騙される可能性があると警告しています。
問題は、生体認証の普及によって誤った安心感が生まれ、ユーザーは生体認証であるから認証は絶対確実であると思い込んでしまうことです。
セキュリティ対策がそれほど厳格でない金融機関では、詐欺師は写真や型など、身体的特徴を模倣する比較的単純な手法を用いて成功しています。例えば、いわゆる「シリコン指詐欺」はよく知られています。犯人はATMの指紋リーダーに透明フィルムを貼り付けて顧客の指紋を盗み、その指紋を使って偽のシリコン指を作成し、不正な引き出しや送金を行います。銀行は既に対策を講じていると主張しています。それは、熱や脈拍など、生きた指の特徴を検知できるセンサーを備えており、人工型は役に立たないからです。
それでも、この詐欺の散発的な事例は、生体認証の障壁はどれも回避の試みから完全に安全ではないことを示しています。もう一つの懸念材料は、ソーシャルエンジニアリングのトリックを用いて顧客自身から自撮り写真や顔スキャン画像を取得することです。ブラジル銀行連盟(Febraban)は、詐欺師が偽りの口実で被害者に「確認用自撮り写真」を要求する新しいタイプの詐欺について警鐘を鳴らしています。例えば、銀行やINSS(ブラジル社会保障庁)の職員を装い、「登録情報の更新」や存在しない給付金の受け取りのため」と顔写真の提出を求めますが、実際には、この自撮り写真を使って顔認証システムで顧客になりすましているのです。
配達員や医療従事者と思われる人物の依頼で写真を撮るといったちょっとした不注意が、犯罪者に他人のアカウントにアクセスするための生体認証の「鍵」を与えてしまう可能性がある。
ディープフェイクとAI:詐欺の新たな領域
人を欺くことは既に広く用いられている戦略ですが、より洗練された犯罪者は今や機械も欺くようになっています。ここでディープフェイク(人工知能による音声と画像の高度な操作)やその他のデジタル偽造技術の脅威が浮上します。これらの技術は2023年から2025年にかけて飛躍的に進化しています。
例えば昨年5月、連邦警察は、偽の顔認証情報を用いてGov.brポータルで約3,000件のアカウントを詐取した事件を特定した後、「フェイスオフ作戦」を開始しました。この犯罪グループは、gov.br、正規ユーザーになりすますために高度な技術を用いていました。
捜査官らは、詐欺師たちが顔認識システムを欺くために、加工された動画、AIで加工された画像、さらには超リアルな3Dマスクなどを組み合わせて使用していたことを明らかにしました。つまり、彼らは故人を含む第三者の顔の特徴を模倣し、なりすまし、そのアカウントに紐付けられた金銭的利益にアクセスしていたのです。まばたき、笑顔、首を回すといった完璧に同期した人工的な動きをすることで、カメラの前にいる人間を検知するために開発された生体検知機能さえも回避することに成功しました。
その結果、正当な受益者のみが引き出すべき資金への不正アクセス、そして偽の身元情報を利用したMeu INSSアプリでの給与ローンの不正承認が発生しました。この事例は、適切なツールが利用可能であれば、大規模で理論上は安全なシステムであっても、顔認証を回避できることを力強く示しました。
民間部門でも状況は変わりません。2024年10月、連邦管区の民間警察は「DeGenerative AI」作戦を実施し、人工知能アプリを用いてデジタル銀行口座へのハッキングを専門とする犯罪組織を壊滅させました。犯罪組織は、漏洩した個人情報とディープフェイク技術を用いて口座名義人の画像を再現し、被害者名義の新規口座開設手続きを承認したり、モバイルデバイスをあたかも被害者の所有物であるかのようにアクティベートしたりすることで、顧客の銀行口座へのハッキングを550回以上試みました。
このグループは、銀行の内部監査によって詐欺行為の大半が阻止されるまで、さまざまな資金源から資金洗浄を行い、個人や法人の口座を通じて約1億1000万レアルを移動していたと推定される。
生体認証を超えて
ブラジルの銀行業界にとって、こうしたハイテク詐欺の激化は警戒すべき事態です。銀行は過去10年間、顧客を安全なデジタルチャネルに移行させるために多額の投資を行い、詐欺対策として顔認証や指紋認証を導入してきました。
しかし、近年の詐欺の急増は、生体認証だけに頼るだけでは不十分かもしれないことを示唆しています。詐欺師は人為的なミスや技術的な抜け穴を悪用して消費者を騙します。そのため、単一の「魔法の」要素に頼るのではなく、複数のレベルと認証要素を備えたセキュリティ設計が求められています。
この複雑な状況を踏まえ、専門家は一つの推奨事項に同意しています。それは、多要素認証と多層的なセキュリティアプローチを採用することです。これは、複数の技術と検証方法を組み合わせることで、一つの要素が機能不全に陥ったり侵害されたりしても、他の要素が不正行為を阻止することを意味します。生体認証自体は依然として重要な要素であり、生体認証と暗号化を適切に実装することで、機会主義的な攻撃を大幅に阻止できます。
しかし、このシステムは、携帯電話に送信されるワンタイムパスワードや PIN、ユーザーの行動の分析 (入力パターンやデバイスの使用状況を識別し、顧客の「通常とは異なる行動」に気付いたときに警告を鳴らすことができる、いわゆる行動バイオメトリクス)、およびインテリジェントなトランザクション監視などの他の制御と連携して動作する必要があります。
AIツールは、例えば音声周波数を分析して合成音声を検出したり、自撮り写真の視覚的な歪みを探したりするなど、動画や音声におけるディープフェイクの微妙な兆候を識別するなど、銀行を支援するためにも使用されている。
結局のところ、銀行の経営者や情報セキュリティ専門家へのメッセージは明確です。特効薬はありません。生体認証は従来のパスワードに比べて優れたレベルのセキュリティをもたらしました。そのため、詐欺行為はアルゴリズムを破ることではなく、人々を騙すことに大きく移行しました。
しかし、詐欺師は生体認証システムを阻止するために、人為的なものも技術的なものも含め、あらゆる抜け穴を悪用しています。適切な対応には、常に最新の技術をアップデートし、積極的な監視を行うことが不可欠です。新たな詐欺の出現と同じスピードで防御体制を進化させることができる者だけが、悪意ある人工知能の時代において顧客を完全に保護することができるのです。
SVX Consultoria CEO 兼コンサルティング責任者、シルビオ・ソブレイラ・ヴィエイラ氏.
