ホーム / Critical Brief / No. 022

OnlyFake

AI 生成 ID による KYC 突破

Pillar 04 · 規制属性証明 属性証明バイパス 認証・認可データ来歴
事案日
2024-02-05
公開日
2026-06-04
発行
Lemma Critical Team
関連 Pack
Pack BRegulatory

TL;DR

2024 年 2 月 5 日、米メディア 404 Media は、偽造 ID 生成サービス「OnlyFake」で生成した英国パスポートの画像を用いて、大手暗号資産取引所 OKX の KYC(本人確認)を通過する実証を報じた。OnlyFake は 1 通 15 ドルで 26 か国の ID 画像を生成し、氏名・住所・有効期限・署名を自由に指定でき、撮影機材・日時・GPS 座標などのメタデータの偽装にも対応していた。運営者は「ニューラルネットワーク」による生成を称し(404 Media はこの主張自体は確認できなかったとしている)、主要取引所・ネオバンクの KYC を突破できると主張した。OKX は業界横断の問題であるとの認識を示した。以後、AI 生成書類・face swap・カメラ injection を組み合わせて書類確認と生体確認の双方を破る攻撃連鎖が国際機関により文書化され、2025 年には世界の本人確認失敗の 20 件に 1 件が deepfake 関連とされるに至る。本 Brief は、「本人確認を通過した」という規制属性が、発行者を暗号的に検証できない「書類の画像」という証拠の上に構築されている構造を扱う。発行者検証なき画像審査は、生成コストが暴落した時点で属性証明として機能しなくなる。

画像を審査した ≠ 発行元を検証した

事案概要

  • 実証報道: 2024-02-05、404 Media が OnlyFake で生成した英国パスポート画像により OKX の KYC を通過したことを報道。OECD.AI の incident registry にも収載
  • サービスの内容: 1 通 15 ドル。米・加・英・豪・EU 各国を含む 26 か国の ID 画像を生成。氏名・生年月日・住所・有効期限・署名を指定可能。本人確認でよく使われる「カーペット上に置いた撮影」のような質感まで再現
  • メタデータ偽装: 撮影デバイス・日時・GPS 座標などの EXIF 偽装に対応
  • 運営者の主張: 匿名運営者(自称 “John Wick”)は、主要取引所・暗号資産対応ネオバンクの KYC を突破可能と主張。「ニューラルネットワーク」による生成を称した(404 Media は AI 利用の主張自体は確認できなかったと明記。一方で価格水準は自動生成を示唆)
  • 被弾側の認識: OKX は本件を特定 1 社ではなく業界横断の問題であるとの認識を示した

タイムライン

  • 2024-02-05: 404 Media が OnlyFake の実証報道を公開。OKX の KYC 通過を確認
  • 2024-02: 業界各紙が追報。OKX が業界横断の問題であるとの認識を表明。OECD.AI incident registry に収載
  • 2025: 世界経済フォーラム(WEF)等が、AI 生成書類・face swap・カメラ injection を組み合わせ書類確認と生体確認の双方を破る攻撃連鎖を文書化
  • 2025: 本人確認業界の統計で、deepfake 起因の不正試行が 3 年間で 2,137% 増、本人確認失敗の 20 件に 1 件が deepfake 関連と報告される
  • 2025 上期: deepfake 関連詐欺の損失が半年で約 4.1 億ドルに到達と報告。AML/KYC 違反に対する金融当局の制裁金も急増

攻撃ベクター

  1. 書類画像の生成: 攻撃者が OnlyFake 等のサービスで、指定した氏名・属性を持つ photorealistic な ID 画像を低コストで生成する。撮影状況・メタデータも偽装される
  2. 書類確認の通過: 生成画像を KYC フローに提出する。書類確認は画像の「本物らしさ」(テンプレート適合・質感・整合性)を審査するものであり、発行者が実際に発行した文書かどうかを暗号的に検証していない
  3. 生体確認の通過: face swap・カメラ injection を組み合わせ、selfie 照合・liveness 検知を破る。書類と生体という KYC の 2 本柱が双方とも「提示物の見た目」への審査である限り、生成系の進歩がそのまま突破率に転化する
  4. 属性の取得: 「本人確認を通過した」という規制属性が付与され、口座が開設される。以後、この属性は取引・送金の前提として下流に受理され続ける
  5. 影響の確定: 不正口座が詐欺・資金洗浄に利用される。事業者側は事後のモニタリングと当局対応を迫られ、オンボーディング不備は AML/KYC 制裁金として顕在化する

構造的論点

本事象は、Pillar 04(規制属性証明)の attribute-proof-bypass カテゴリに属する。中心的な失敗 primitive は、規制属性(本人確認通過)が、発行者を検証できない証拠の上に構築されている点にある。KYC の書類確認が検証しているのは、文書そのものではなく文書の「画像」であり、審査の実体は見た目の妥当性判定である。発行者の署名という暗号的事実に接続されていない以上、「本物らしい画像」の生成コストが暴落した時点で、この審査は属性証明として機能しなくなる。secondary に identity-auth(本人と属性の binding)、data-provenance(AI 生成コンテンツの来歴)を併記する。

本物らしい ≠ 発行されている

Brief 019(人の資格属性)・020(製品の適合属性)・021(資産実在性)が内部者によるデータ改変・虚偽申告として現れたのに対し、本事案は 外部の攻撃者が同じ検出と証明の落差(属性の assertion がそれを検証する layer と切り離されている)を突いた 点で対照的である。gap が同一であることは、対策が「提示物の審査強化」ではなく「検証層の追加」であるべきことを示す。また、AI 生成コンテンツの来歴という観点では Brief 011(SynthID 透かし reverse-engineering)と隣接する。

検出と証明の落差

本事象への業界の初期応答は検出強化である。deepfake 検知、画像フォレンジック、injection 検知は、不正試行の多くを実際に止めており、本 Brief が検出層の役割を否定するものではない。検出は突破率を下げ、攻撃コストを引き上げる層として引き続き不可欠である。

一方で、検出は「提示された画像が発行者の発行した文書を写したものか」という問いそのものには答えられない。検出が判定するのは生成痕跡の有無であり、生成系と検出系は構造的に軍拡競争の関係にある。検出率がどれだけ高くても、それは確率的スコアであって、規制報告・行政手続き・訴訟で「この口座は正当な本人確認を経て開設された」と証明する材料には直接ならない。これは検出層の射程外にある、構造的に独立した層の gap である。

現状、本人確認の運用モデル全体において、提示された証拠の発行者検証は、まだ独立した層として扱われていない。事前証明(pre-execution attestation)は、オンボーディングの経路に発行者署名付きの属性証明を 1 段挟むことで、この gap を埋める。審査対象を「画像」から「証明」に置き換えれば、生成系の進歩は突破率に転化しない。事前証明は検出に対する代替ではなく 補完 であり、両層の組み合わせで本人確認の trust boundary が確立される(検出と事前証明の関係についての詳細は 「AI 時代のサイバー防衛に残された、最後の層」(Lemma、2026-05)を参照)。

対応経緯と業界動向

  • 事業者側: OKX は業界横断の問題であるとの認識を表明。本人確認ベンダー各社は deepfake 検知・injection 検知の強化を進める一方、検出と生成の軍拡競争という構造自体は残ると報告している
  • 国際機関・業界統計: WEF 等が AI 生成書類・face swap・カメラ injection の攻撃連鎖を文書化。deepfake 起因の不正試行は 3 年間で 2,137% 増、2025 年には本人確認失敗の 20 件に 1 件が deepfake 関連と報告される
  • 規制の重心移動: AML/KYC 違反への制裁は強化が続き、オンボーディング段階の本人確認不備が主要な処分理由となっている。並行して、EU の eIDAS 2.0 / EUDI Wallet に代表される、発行者署名付きデジタルクレデンシャルと選択的開示を前提とする本人確認への制度移行が始まっており、「画像の審査」から「証明の検証」への構造転換が規制側からも進みつつある

本人確認の証拠の発行者を、オンボーディングの時点で暗号的に検証する層の不在は、特定事業者の問題ではなく、金融・本人確認業界横断の運用課題として浮上している。

Lemma による分析

本事象で露呈した検出と証明の落差(本人確認の規制属性が、発行者を検証できない画像証拠の上に構築されている)に対して、Lemma は、本人確認を「画像の審査」から「発行者署名付きクレデンシャルの暗号的検証」に置き換え、検証側が原本データを受け取らずに「要件を満たす」ことだけを検証できる設計を提示している。

  • 発行者署名付きクレデンシャル: 政府・発行機関・確認済み IdP が、本人属性を発行者署名付きで発行する。検証されるのは画像の見た目ではなく、発行者の署名という暗号的事実である
  • 選択的開示: BBS+ over BLS12-381 により、「18 歳以上」「制裁リスト非該当」「KYC 通過」など、規制要件が必要とする属性だけを最小開示する。ID 原本・全属性は検証側に渡さない
  • 有効性・失効: Poseidon over BN254 でコミットし、有効性・非失効を Groth16(Circom 回路)で証明する。docHash で発行原本に紐付け、失効(取消・期限切れ)も追跡できる

これにより、オンボーディングの時点で固定された証明が、後年に「この口座は正当な本人確認を経て開設されたか」を問われた際に、本人の原本データを開示せず独立検証可能なトレイルとして機能する。検出(deepfake 検知・事後モニタリング)は攻撃コストの引き上げと事後の是正に、事前証明(発行者検証)は属性の正当性の独立検証に、それぞれ相補的に働く。

データは渡さない。証明は渡る。

設計と適用範囲は、ユースケース 「KYC/AML 選択的開示」 および Pillar 04 — 規制属性証明 を参照のこと。

Sources

Brief 配布について

Lemma Critical Brief は Lemma が発行する脅威インテリジェンス・ブリーフです。本資料は公開情報の構造化分析であり、特定の組織への監査・診断・推奨ではありません。意思決定の参考として用いる場合は、貴組織の Lemma Critical 担当に直接ご相談ください。

Discovery Call → ホワイトペーパー → ✉️ ニュースレター →

(c) 2026 FRAME00, INC. — Built for decisions that matter.

関連 Brief
属性証明バイパスの全 14 件を見る
No. 040 · 2026-06-09

保全の実態がない森林から、カーボンクレジットが発行・販売されていた

環境属性の裏づけデータが、発行時に独立検証されない構造(ブラジル Operation Greenwashing)

属性証明バイパス データ来歴
Brief →
No. 035 · 2026-06-08

検査は「完了」と記録されていたが、実施されていなかった

Boeing 787 で、記録の存在が実施の証明と取り違えられた

属性証明バイパス データ来歴認証・認可
Brief →
No. 034 · 2026-06-08

ライブ生体認証が「注入された映像」に突破された

KYC は本人の生体を確認したと信じたが、撮影の来歴は検証されなかった

属性証明バイパス AI 判断の完全性認証・認可
Brief →
No. 032 · 2026-06-08

正規の予約プラットフォーム内で、売上金の受領口座が書き換えられた

送金先変更が、資金移動の前に独立検証されなかった(Polaris Holdings / Booking.com)

属性証明バイパス データ来歴認証・認可
Brief →
No. 021 · 2026-06-03

実在しない 19 億ユーロを「銀行に残高あり」と偽った(Wirecard)

金融属性が独立検証されないまま開示・市場に直結した構造

属性証明バイパス KYC / AML 開示
Brief →
No. 020 · 2026-06-03

認証試験データの改ざんによる型式指定の取得

製品の規制適合属性が独立検証されないまま出荷に直結する構造

属性証明バイパス 認証・認可
Brief →

Lemma Critical Monthly

実際に起きたリスク事案の構造分析(Critical Brief)を軸に、検出の先に必要な「証明」への視点を月 1 回お届け。

ニュースレターを購読
Cite this Brief

この Brief を引用する

Lemma Critical Team. (2026).
"OnlyFake — AI 生成 ID による KYC 突破".
Lemma Critical Brief No.022. Lemma / FRAME00, Inc.
https://lemma.frame00.com/ja/critical/briefs/022-onlyfake-ai-id-kyc-bypass/