あなたの会社にオンライン アカウントを登録しているのが誰なのか、どうすればわかりますか?答えは、実在の人物から盗まれたデータと偽の情報を組み合わせて新たな偽の身元を作成する「フランケンシュタイン詐欺」、別名合成身元詐欺の増加によって複雑になっている。たとえば、犯罪者は盗んだ社会保障番号 (SSN)、被害者の本名と生年月日 (DoB)、偽の住所、そして自分が管理している電話番号を使用する可能性があります。
実際の ID データを使用することで、正当なものであるように見え、従来のデータ検証方法や DIY データ検証方法による検出を逃れる可能性が高くなります。場合によっては、アカウントの作成または認証プロセス中に、自分の電話番号を使用してワンタイム パスコードを受け取ることもあります。しかし、この携帯電話が彼らの身元と結びついている可能性は低い。代わりに、プリペイド電話、仮想電話番号(VoIP)、または偽装電話番号を使用して、違法行為に関連付けされないようにします。
彼らは、高品質の偽造身分証明書(オンラインで簡単に購入可能)を使って、合成身元の「証明」を提示し、初期審査をすり抜けます。登録されると、悪意のある人物は不正なアカウントを使用して、盗んだクレジットカードで購入したり、新しい信用枠を開設したり、マネーロンダリングやその他の金融詐欺を実行したりできるようになります。
では最初の質問に戻りますが、あなたのビジネスに加入する人が本物の正当な顧客であることをどうやって知るのでしょうか?フランケンシュタインの世界では、企業はID 検証とデータ検証に対する階層化されたアプローチを必要としており、これは、今日の複雑で進化する戦術に継続的に適応するオーケストレーションと不正検出によってさらに強化できます。この記事では、何が必要で、なぜ必要なのかを説明します。
データ検証と身元証明による安全なオンボーディング
アイデンティティ証明 (ID と自撮り写真の分析) とアイデンティティ確認 (データ検証とも呼ばれる) に関する最近の Gartner レポートを読んだことがあるなら、オンボーディング プロセス中にアイデンティティを適切に検証するための階層化アプローチの重要性をすでにご存知でしょう。この組み合わせにより、可能な限り最高のユーザー エクスペリエンス (UX) も保証されます。それでは、これらのソリューションが何をするのか、その基本について説明しましょう。
本人確認、 別名、ID 証明では、ユーザーの ID 文書と自撮り写真を分析して、次のことを迅速に検証します。
- 現実世界のアイデンティティが存在する
- ユーザーの政府発行の身分証明書は本物かつ有効である
- 人物の自撮り写真は本物の生身の人間である
- ユーザーは認証されたIDに関連付けられた人物と同一人物である
本人確認を行う際の多くの課題のいくつかを以下に示します。
- 高品質の偽造IDはダークウェブだけでなく、オンラインでも公然と販売されている
- 新しい偽造IDサービスでは画像編集ツールが提供され、ユーザーは自分の写真を追加できる
- 生成AIは本物のIDのように見える画像を作成または編集するために使用できます
- 文書の改ざんや不正使用されたIDの使用は検出が難しい
- 政府発行のIDテンプレート(ホログラム、フォント、フォーマットなど)は毎年変更されます
- 顧客に身分証明書と自撮り写真の提示を求めると、UXに摩擦が生じる
データ検証(別名 ID 確認)はバックグラウンドで実行され、次の内容を即座に検証します。
- ユーザーが提供する個人データは正確かつ本物である
- データは主張されたアイデンティティと強く関連し、リンクされている
- ユーザーのデバイスと位置情報はIDに関連付けられている
- この人物は国際制裁監視リストに載っていない
データを検証する際の課題のいくつかは次のとおりです。
- 十分な「本物の」データを持つ合成アイデンティティは、基本的な検証方法を欺くことができる
- データ検証ソースとのDIY統合はセットアップと維持が難しい
- 顧客確認(KYC)のコンプライアンスは常に変化しており、地域によって異なります。
- 異なるソースからの結果が矛盾する可能性があるため、矛盾を調整する方法が必要です。
詐欺行為の複雑さに加えて、本人確認とデータ検証の機能と課題を理解すると、オンボーディングを安全に行うために両方のソリューションが必要な理由が明確になります。
ID検証とデータ検証の相乗効果
「一緒にいればより良い」という格言は陳腐かもしれないが、これほど真実なことはない。本人確認とデータ検証は相互に補完し合い、同じプラットフォーム内にネイティブに構築されている場合はシームレスに連携できます。
正当な顧客の大部分は、データ検証のみでリスク許容度またはしきい値を満たします。このような場合、摩擦を加えることなく ID を受動的に検証します。顧客は一般的な登録フローに従って、個人情報を入力するだけです。データ検証で混合結果または否定的な結果が返された場合は、ID と自撮り写真の分析のために本人確認を呼び出して、ユーザーに本人確認の 2 度目のチャンスを与えることができます。
ただし、一部の業界では、KYC 規制の遵守には、身元調査やデータ検証だけでなく、文書ベースの ID 検証も必要です。金融機関や、リスクの高い取引を行う企業では、通常、本人確認とデータ検証の両方が必要です。たとえ、データ検証によって個人情報が有効であり、本人と強く関連していると判断された場合でも、それは同じです。
企業は、ユーザーのアイデンティティにどの程度の信頼性が必要かを評価し、それを提供したい UX とバランスさせる必要があります。UX は業界やユースケースによって異なります。Gartner は、自社のビジネスと特定の状況にどの程度の保証が必要かを自問することを提案しています。これによってどちらか一方の答えが得られることはほとんどありませんが、代わりに、ID 検証とデータ検証の両方を使用して、不必要な摩擦なしにオンボーディングを安全に行う必要があります。
高度な不正行為に対する高度な検出
両方のソリューションが連携して機能する必要があるだけでなく、あらゆる小さいながらも重要な詳細を評価できるほどスマートな、高度な ID 検証および集約されたデータ検証サービスも必要です。Transmit Security の ID 検証サービスとデータ検証機能により、まさにそれが実現します。
Transmit Security は、完全な CIAM プラットフォーム内でプラットフォームネイティブの ID 証明とデータ検証を提供し、完全なプラットフォームの相乗効果を実現する唯一のベンダーです。
セキュリティ ID 検証の送信– AI 駆動型の ID およびドキュメント検証により、個人とその ID が正当であるかどうかを高い信頼性で判断します。この自動化されたサービスは、高度な機能を活用して、高品質の偽造 ID を検出できるほどスマートです。
- 徹底的な文書検査– 日付をテンプレート、フォント、ホログラム、および多数のセキュリティ機能と照合して、ID が本物で改ざんされていないかどうかをあらゆる詳細にわたって検査します。150 を超える加重分析と機械学習アルゴリズムを使用して、合成 ID または改ざんされた ID を検出します。
- 生体認証マッチング– 自撮り写真と身分証明書の写真を比較して、書類内の人物が登録しようとしている人物と同一人物であることを確認します。40 万以上の顔でトレーニングされ、人種、性別、年齢の一致、その他多数の詳細を分析します。
- 生体検出– 自撮り写真に写っている人物がビデオや写真ではなく生きている人物であることを確認し、まばたきなどの微細な動きにも十分敏感です。
- グローバルなカバレッジ– 10,000 件を超える政府文書をサポートし、最新の状態に保たれています。これは、どの企業も独力で実行したいとは思わない大規模な取り組みです。
- 最新の脅威検出 – Transmit Security の研究者は、新しい攻撃方法を分析し、その発見を最初に発見したときに適用し、機械学習と AI アルゴリズムを即座に更新して新しい戦術を捕捉します。
- ネイティブ ID 決定– コーディングなしで、検証フローとルールを作成して調整し、決定を自動化できます。
Transmit Securityのデータ検証機能– ユーザーが登録時に提出するデータの有効性を評価することで、口座開設詐欺を防止します。自動化され、即時に詐欺行為を未然に防ぎます。信頼できる顧客に対しては、簡単で快適なエクスペリエンスを提供することで、オンボーディングを安全かつ迅速に行うことができます。
- 必要なものはすべて単一の API に集約されており、主要なデータ ソースを集約して、世界および地域をカバーします。簡単に実装できるサービスにより、何百ものデータ ソースを検証、統合、保守する必要がなくなります。
- 事前に構築されたカスタマイズ可能なユースケース – 名前、住所、電子メール、電話番号、生年月日、社会保障番号が有効であり、本人確認書類と強く関連しているかどうかを確認するために使用するソースを選択できます。
- パッシブ検証– バックグラウンドで実行され、顧客に追加の手順を要求することなく、離脱につながる可能性のある摩擦が生じます。
- 評判サービス– ユーザーの電子メールと電話番号の評判を確認します。
- デバイス インテリジェンス– 携帯電話デバイスの地理的位置をチェックし、ユーザーが主張する住所と一致していることを確認します。
- 即時の身元調査– AMLおよびPEP監視リスト、信用調査機関、KYCに必要なあらゆるものをスキャンします
- 同時検証– これらすべてのチェックを実行し、知識ベースの認証を同時に実行するので、速度と集約について心配する必要はありません。
- ネイティブ ID 決定– コーディングなしで、検証フローとルールを作成して調整し、決定を自動化できます。
- データの相関関係– さまざまなソースからの不一致を調整します。ランタイム ルールが結果を処理し、決定をアプリに直接配信します。
顧客エクスペリエンスの向上を開始し、セキュリティ対策を回避するように設計された合成詐欺を防止します。最先端の本人確認サービスとデータ検証機能を組み合わせることで、今日の最も巧妙なフランケンシュタイン詐欺や偽造 ID に対するより強力な防御が実現します。
