生体認証詐欺技術が銀行のセキュリティシステムを脅かす

AI技術が悪用されている

最近タイビン省で摘発された1兆ドル規模の賭博組織では、被害者らが人工知能（AI）技術を用いて偽の顔動画を作成し、口座名義人の直接の関与なしに銀行アプリケーションの生体認証を回避していました。この巧妙な手口は、懸念すべき疑問を提起します。一見すると突破不可能に見えるセキュリティ障壁を、テクノロジーがどのように悪用されて回避できるのでしょうか？

タイビン省警察捜査局の情報によると、同捜査局は賭博罪とマネーロンダリング罪に関連する21人の被告人を刑事事件として起訴したばかりだ。ベトナムでAIを用いて違法行為を行った犯罪者が記録されたのは初めてであり、これは衝撃的な事例である。

被疑者らは賭博を組織するだけでなく、プレイヤーが入金するための銀行口座を開設する人材を雇用することでマネーロンダリングも行っていました。台湾（中国）からコンピューターを操作し、ベトナムの銀行アプリがプリインストールされた携帯電話に遠隔接続しました。そして、資金は違法な出所を隠すために、複数の口座を通じて流通していました。

特に、生体認証が必要な1,000万VND以上の大口取引を実行するために、このグループはAIで作成したアカウント所有者の顔の偽の動画を使用し、実際の人間の協力なしにセキュリティシステムを簡単に回避しました。

口座名義人が直接関与することなく、AI技術を使って偽の顔動画を作成し、銀行アプリの生体認証を回避するという手口に関して、国家サイバーセキュリティ協会技術部門責任者のヴー・ゴック・ソン氏は、この件は当局が捜査中で、まもなく公式情報が出るだろうと語った。

技術的な観点から、孫氏は、被験者グループは「ルート化」されたAndroidスマートフォンを使用していた可能性が高いと述べました。これは、デバイスへの最高レベルのアクセス権を取得するためにオペレーティングシステムに深く介入したことを意味します。これは、データとシステムのセキュリティを確保するためにメーカーがロックすることが多い権限です。しかし、一部のスマートフォンモデルでは、特に犯罪者の手に渡った場合、ルート化はそれほど難しくありません。

デバイスを乗っ取った後、被験者は仮想カメラ（実際のカメラをシミュレートするソフトウェア）をインストールできます。これにより、アプリケーションは物理的なカメラからの映像を録画する代わりに、AI技術を用いて生成された利用可能なビデオ信号を受信し、この信号を受信します。この形態により、銀行アプリはアカウント所有者が生体認証を行っていると誤認する可能性がありますが、実際には偽の画像です。

ユーザーは自分自身を守るために何をすべきでしょうか?

孫氏によると、これは現在の詐欺対策が技術競争だけでなく、人間同士の知恵比べでもあることを示す典型的な例だ。そのため、技術的なソリューションを強化するだけでなく、ユーザーは常に警戒を怠らないことが重要だ。また、多くの銀行アプリが生体認証詐欺を防ぐために高度な保護層を追加しているため、すべての銀行アプリが簡単にバイパスできるわけではないことも強調した。人々はパニックに陥りすぎないようにしつつ、主観的にならないようにすべきだ。

知識と生活新聞の記者に対し、ケトノイ法律事務所（ハノイ弁護士会）所長のグエン・ゴック・フン弁護士は、現在、被害者はインターネット上に公開されている写真、動画、個人情報から被害者の顔を収集し、ディープフェイク技術を用いて顔の複製を作成するなど、様々な技術的トリックを用いて生体認証を偽造していると述べた。この複製を用いて、被害者のデバイスまたは模造デバイス上の銀行の生体認証システムを欺き、財産を横領する。

生体認証偽造技術を使用して銀行アプリケーションの認証システムを回避し、金銭を盗むことは、ベトナムの法律に基づいて起訴される可能性のあるハイテク詐欺です。

したがって、これらの者は、横領した金額、刑事責任の軽減又は加重の情状、各対象者及び各事件のその他の状況に応じて、刑法第174条に規定する「財産上詐取」の罪で最長20年の懲役又は無期懲役で刑事訴追される可能性がある。

銀行には、特に生体認証技術を使用する場合、顧客口座の安全を確保するために十分に強固なセキュリティシステムを構築し、維持する明確な義務があります。システムが攻撃を受けたり、偽造技術によってバイパスされたりした場合、適時なリスク検出や警告メカニズムがないまま、銀行は技術組織、内部統制プロセス、または顧客への警告不足に欠陥があったことが証明されれば、損害賠償などの関連責任を問われる可能性があります。

銀行は、ネットワーク情報セキュリティ、個人データ保護に関する法的規制、および国立銀行の電子バンキングサービス提供に関する規制を遵守する必要があります。これらの要件を遵守しなかった場合、被害を受けた当事者は行政責任、さらには民事責任を問われる可能性があります。

正当な権利と利益を確保し、詐欺の被害に遭わないために、人々は積極的にアカウントを保護し、出所不明のアプリケーションに個人情報や生体認証情報を入力しないでください。不明なソースからのメッセージ、画面、設定へのアクセスを許可しないでください。

指紋、顔、動画の鮮明な画像をソーシャルメディアで共有しないでください。誰かに監視または録画されている疑いがある場合は、公共の場で指紋や顔を使用しないでください。銀行アプリを開いて指紋や顔をスキャンするように求められた場合は、必ず慎重に確認してください。銀行アプリのアップデートを要求された場合は、銀行の公式ウェブサイトで直接確認してください。理由が不明な場合は、取引を承認しないでください。これらの認証要件を確認するには、銀行に直接電話してください。

詐欺の兆候を発見した場合は、当局や地元警察に通報し、犯人を追跡して速やかに阻止する必要があります。