AIによる文書偽造の急増、書類の見た目の正しさはもう通用しない

セキュリティニュース

投稿日時: 更新日時:

AIによる文書偽造の急増、書類の見た目の正しさはもう通用しない

本人確認サービスを手がけるSumsubの調査によると、生成AIを使った合成身元確認書類による詐欺は2025年に世界全体で300%を超える増加を記録し、北米に限れば2024年第1四半期比で311%にまで拡大しました。ディープフェイクを使った詐欺の試みも桁違いの伸びを見せています。

当サイトでは以前、生成AIの進化により身元確認書類の偽造が容易になりKYCが終焉を迎えつつある状況を取り上げましたが、あれから状況はさらに悪化しており、書類の見た目が正しいかどうかを人の目やシステムで確認するという従来の検証方法そのものが、もはや意味をなさなくなりつつあります。今回はこの流れを踏まえ、企業が今後どのような発想で本人確認や契約書類の検証に取り組むべきかを整理します。

サマリー

  • 本人確認サービスのSumsubによると、合成身元確認書類を使った詐欺は2025年に世界全体で300%超、北米では2024年第1四半期比で311%増加した
  • ディープフェイクを使った詐欺の試みも桁違いに増加しており、10社に1社を超える企業が、業務の中でディープフェイクまたはAI生成の文書による詐欺を経験したと回答している
  • 本人確認プロセスの失敗事例のうち、約20件に1件がディープフェイクに起因するとされている
  • 以前から知られているGPT-4oによる偽パスポート生成(5分未満で本物と区別がつかない品質)に加え、Googleの画像生成エンジンGemini 3(Nano Banana Pro)を使えば、資格証明書や修了証のような書類も数秒で説得力のある偽物として生成できることが指摘されている
  • セキュリティ専門家は、書類の見た目が正しいかどうかを確認する従来のやり方はもはや有効な統制ではなく、第三者が署名後に改ざんされていないことを本人の申告に頼らず証明できる仕組み、いわゆるプロブナンス(来歴)の検証こそが必要な統制だと指摘している
  • 推奨される対応は、被害が発生した後に調査するのではなく、本人確認や取引先登録、融資審査、契約締結といった書類が組織の外から中へ入ってくる入り口の段階で、来歴の検証を自動的に行う仕組みへ切り替えることである
項目 内容
合成身元確認書類詐欺の増加率(2025年、Sumsub調べ) 世界全体で300%超、北米では2024年第1四半期比311%
ディープフェイク詐欺の増加 桁違い(1桁増)の急増
AI生成文書による詐欺を経験した企業の割合 10社に1社超
本人確認の失敗のうちディープフェイクが占める割合 約20分の1
GPT-4oによる偽パスポート生成時間 5分未満(既報)
Gemini 3(Nano Banana Pro)による偽資格証明書生成 数秒程度とされる
求められる新しい検証の考え方 見た目の確認(looks right)からプロブナンス(来歴)の検証へ

何が起きたか

書類の偽造を見抜く従来の手がかりは、フォントの違いやロゴのにじみ、日付とメタデータの不一致といった、目に見える不自然さを探すという作業でした。

しかし生成AIの登場は、こうした手がかり探しという行為そのものを終わらせつつあります。以前は専門的な技術や道具、時間を要した偽造作業が、今ではチャットボットと数分の時間さえあれば誰にでもできるようになりました。

Sumsubが報告した数字は、この変化が緩やかなトレンドではなく、急激な段階的変化であることを示しています。

AI合成による身元確認書類を使った詐欺は2025年に世界全体で300%を超える増加を見せ、北米だけを見ると2024年第1四半期比で311%にまで膨らみました。

ディープフェイクを使った詐欺の試みも桁違いの伸びを記録しており、10社に1社を超える企業が、業務の中でディープフェイクまたはAI生成の文書による詐欺を実際に経験したと回答しています。さらに、本人確認プロセスがうまく機能しなかった事例のうち、約20件に1件はディープフェイクが原因とされており、もはや一部の特殊な事例にとどまらない規模になっていることがうかがえます。

GPT-4oからGemini 3まで-進化し続ける偽造技術

当サイトで以前紹介した通り、開発者のBorys Musielak氏はGPT-4oを使い、わずか5分足らずで本人のパスポートと視覚的に区別のつかない偽造画像を作成し、多くの自動KYCシステムを通過できる品質だと評価しています。

この事例が話題になったのは2025年前半のことですが、その後もAIによる文書生成の精度は向上を続けています。最近ではGoogleのGemini 3に搭載された画像生成エンジンであるNano Banana Proを使うことで、資格認定書や修了証のような、団体や協会が発行する証明書についても、数秒程度で本物と見分けがつかない品質のものを作成できることが指摘されています。特別なデザインの知識や専用ソフトウエアを必要とせず、文章を入力するだけでそれらしい書類が手に入ってしまうという点で、偽造の敷居はほぼ消え去ったといえます。

なぜ「見た目が正しい」はもはや通用しないのか

これまでの本人確認や契約書類の検証プロセスの多くは、ある程度は目視による確認、あるいは目視の延長線上にある自動化された画像解析に依存してきました。しかし生成AIが作り出す偽造書類は、まさにその見た目の正しさを追求するように学習されたものです。

本物の書類を大量に学習したモデルが生成する偽物は、レイアウトやフォント、影の付き方、偽造防止印刷の模様までも高い精度で再現してしまうため、見た目だけを基準にした検証はそもそも土俵として成立しなくなっています。

この状況を踏まえ、セキュリティの専門家が指摘しているのは、見た目が正しいということ自体はもはや有効な統制にはならないという点です。真に必要な統制は、第三者がその書類が署名後に改ざんされていないことを、本人の申告を鵜呑みにすることなく証明できる能力にあります。言い換えれば、書類が本物らしく見えるかどうかではなく、その書類がどこから来て、誰がいつ作成・署名し、その後改ざんされていないかという来歴、いわゆるプロブナンスを技術的に検証できるかどうかが、これからの本人確認や書類審査における本質的な論点になるということです。

プロブナンス(来歴)検証という新しい防御の考え方

店舗などの来歴に基づく検証の考え方は、正規の書類にとっては負担にならないという特徴を持っています。

実際に本人が署名し、正規の手続きを経て作成された書類は、それ自体が来歴の証明を伴っているため、検証は瞬時に完了します。検証に失敗するのは、生成AIなどによって後から作り直された、あるいは改ざんされた書類だけです。この仕組みは、正直な申請者や実在する取引先の手続きを遅らせることもなければ、審査担当者に対して人間の目では見分けがつかないレベルにまで進化した偽造を見抜く専門知識を求めることもありません。

こうした検証を適用すべき場面として挙げられるのが、KYCによる顧客の受け入れ、取引先や仕入れ先の登録、融資の審査、契約の締結といった、書類が組織の外部から内部へと入ってくる節目です。

これらはいずれも、偽造された書類が実害をもたらす直前の、最後の関門にあたります。被害が発生してから調査を行う事後対応ではなく、書類が組織に入ってくる入り口の段階で自動的に来歴を確認する仕組みに切り替えることで、調査という手間そのものを、被害が発生する前の関門へと置き換えることができます。この事前対応と事後対応の間にあるコストの差こそが、詐欺による被害額そのものだといえるでしょう。

情報システム部門への示唆

自組織のKYC手続きや取引先登録、契約締結のフローにおいて、いまだに書類画像の目視確認や、単純な画像解析だけに依存した審査を行っている場合は、生成AIによる偽造のリスクを踏まえた見直しが必要な段階に来ています。

具体的には、電子署名サービスにおける来歴情報や監査ログの活用、書類の作成・署名・提出に至る一連の流れを暗号学的に検証できる仕組みの導入を検討することをお勧めします。また、当サイトで以前取り上げた偽造マイナンバーカードを使った不正な口座開設による約6億円の被害事案のように、画像ベースの本人確認だけに依存した仕組みは、生成AIの有無にかかわらずすでに突破された実例が国内でも出ています。人事・総務部門が採用時や契約時に受け取る身分証明書についても、券面画像の目視確認だけで完結させず、ICチップの読み取りや公的個人認証との連携など、電子的な検証手段をあわせて導入することが望まれます。書類の見た目がどれほど精巧になっても、その来歴を技術的に裏付けられる仕組みさえ整えておけば、生成AIによる偽造の脅威に振り回されずに済むはずです。

 

出典