AIディープフェイクツールが暗号資産のKYC本人確認を標的に

2026年4月15日4分で読めます

By Lina Petrov — 8 years reviewing consumer technology

AIディープフェイクツールが暗号資産の本人確認を危険にさらす

新たに確認されたAIディープフェイクツールが、主要な暗号資産取引所で使用されている本人確認システムを突破できるという報告が浮上し、セキュリティ研究者たちの深刻な注目を集めている。JINKUSU CAMとして知られるこのソフトウェアは、Binance、Coinbase、Kraken、OKXなどのプラットフォームにおける顧客確認（KYC）チェックを回避できると報告されている。リアルタイムの顔および音声操作を使用することで、このツールはライブビデオ認証セッション中に偽造されたIDを提示し、数百万人のユーザーがアカウントのセキュリティ確保のために依存しているシステムを欺く可能性がある。

KYCシステムが存在するのには正当な理由がある。暗号資産取引所は多くの国・地域の規制当局から、ユーザーが自称する本人であることを確認することを義務付けられている。これらのチェックは、詐欺、マネーロンダリング、および盗まれた身元を使った金融サービスへの不正アクセスを防止するのに役立っている。JINKUSU CAMのようなツールがそれらのチェックを確実に突破できるとすれば、その影響は個々の取引所をはるかに超えたものになる。

JINKUSU CAMの仕組み

セキュリティ研究者によると、JINKUSU CAMは本人確認ワークフローを突破するために特別に構築された、フル機能のリアルタイムディープフェイクスイートである。その中核機能は、InsightFaceなどのフレームワークを搭載したGPUアクセラレーション対応の顔スワッピングであり、ライブセッション中に滑らかでリアルな顔の動きを生成する。このソフトウェアには、調整可能なピッチ設定とプリセットプロファイルを備えたボイスチェンジャーも含まれており、攻撃者は提示される視覚的IDに合わせた音声出力を実現できる。

このツールはOBSなどのソフトウェアを通じた仮想カメラ出力をサポートしており、操作されたビデオストリームを本物のカメラ映像であるかのようにブラウザや認証アプリに直接注入することができる。またAndroidエミュレーター内でも動作するため、モバイルベースの認証フローにも潜在的な影響が及ぶ。GFPGANや顔メッシュトラッキングなどの追加AIツールが精密な表情マッピングに使用されており、生成されたIDが生体認証検知ステップでより説得力を持って見えるようになっている。

現代のKYCシステムにおける一般的な安全策である生体認証検知は、静止画像や事前録画された動画ではなく、認証時に実際の人物が存在していることを確認するために設計されている。JINKUSU CAMの機能の組み合わせは、この種のチェックを突破するために特別に設計されているように見受けられる。

詐欺リスクはアカウント乗っ取りを超えて広がる

セキュリティアナリストたちは、JINKUSU CAMのようなツールが個別の事案だけでなく、大規模な詐欺を可能にする恐れがあると警告している。懸念事項の一つは、過去のデータ侵害で盗まれた画像の使用に関するものだ。攻撃者は流出した個人写真を使用して、本人確認チェックをパスして金融アカウントへのアクセスを取得できるリアルなデジタルIDを構築できる可能性がある。

合成ID詐欺についての懸念もある。これは実際のデータと偽造データを組み合わせて完全に新しいIDを構築する手法だ。これらの合成プロファイルは、マネーロンダリング、アカウント作成詐欺、その他さまざまな金融犯罪に使用される可能性がある。基となるIDが実在する人物のものではないため、従来の手法では追跡やフラグ付けが困難な場合がある。

直接的な詐欺リスクを超えて、このようなツールの存在はKYCシステム全体の信頼性に関する広範な問題を生じさせる。取引所や金融プラットフォームはコンプライアンスインフラに多大な投資を行っている。そのインフラが市販のAIソフトウェアで突破できるとすれば、規制当局や機関はリモート本人確認への現在のアプローチを全面的に見直す必要が生じるかもしれない。

あなたにとっての意味

日常的な暗号資産ユーザーにとって、この種のツールの登場は、プラットフォームのセキュリティはその最も脆弱な認証ポイントと同程度の強度しか持たないという事実を改めて示している。悪意ある行為者が偽造IDを使って認証済みアカウントを作成できるならば、正規ユーザーは詐欺、不正行為、およびプラットフォームの整合性侵害へのリスクが高まる可能性がある。

この状況はまた、利用するプラットフォームの選択がなぜ重要なのかを浮き彫りにしている。基本的な生体認証チェックを超えたより高度な不正検知を含む多層的なセキュリティに投資している取引所は、このような脅威への対応においてより有利な立場にある。

自分自身を守るための実践的な手順をいくつか紹介する：

すべての暗号資産アカウントで多要素認証（MFA）を有効にする。可能な限りSMSではなく認証アプリを使用する。
不正なアクティビティや見覚えのないログイン試行がないか、定期的にアカウントを監視する。
個人データがどこに保存されているかに注意し、自分の情報が既知のデータ侵害に含まれているかどうかの確認を検討する。
使用する各取引所や金融プラットフォームに対して、固有の強力なパスワードを使用する。
資産を預けているプラットフォームのセキュリティ慣行について、常に最新の情報を得る。

ここでの核心的な問題は、KYCがコンセプトとして機能していないということではなく、それを突破するために使用される技術が多くのプラットフォームの現在の想定よりも速く進化しているということだ。取引所はこれらのリスクを認識しており、セキュリティチームは対応に取り組んでいるが、ユーザーはいかなる単一の認証レイヤーもアカウントを完全に保護するものだと思い込むべきではない。自身のセキュリティを真剣に考えることは、依然として最も効果的な防御手段の一つである。