iBeta レベル1 PADテスト: 360回の攻撃試行で攻撃成功率0%を達成 (JA)

顔認証の信頼性は、その背後にあるライブネスチェックにかかっています。攻撃者が印刷された写真を使ったり、ビデオを再生したり、マスクを着用して認証を突破できる場合、その生体認証は単なる見せかけです。プレゼンテーション攻撃検知（PAD）は、本物の人間とスプーフィングを区別する技術であり、PADシステムが機能することを証明するには、独立したラボに攻撃を依頼する必要があります。

Diditはまさにそうしました。Diditの生体認証ライブネスは、NIST/NVLAP認定ラボであるiBeta Quality Assuranceによって実施されたISO/IEC 30107-3に基づくiBetaレベル1プレゼンテーション攻撃検知テストに合格し、360回の攻撃試行全体で攻撃成功率0%およびIAPAR 0%を達成しました。このガイドでは、PADテストとは何か、iBetaがどのように実施するのか、そしてDiditの結果が具体的に何を意味するのかを説明します。

主なポイント

• DiditはISO/IEC 30107-3に基づくiBetaレベル1 PADテストに合格しました。これは生体認証プレゼンテーション攻撃検知に関する国際標準です。
• 360回の攻撃試行全体で攻撃成功率0% / IAPAR 0%を達成しました。すべてのスプーフィング試行が正しく拒否されました。
• NIST/NVLAP認定テストラボ（ラボコード200962）であるiBeta Quality Assuranceによってテストされました。これは自己評価ではなく、独立した第三者によるものです。
• 結果はレベル1です。Diditはレベル1であることを報告しており、レベル2を主張していません。コンプライアンスレターは2026年1月5日から2026年2月4日までのテスト期間を経て、2026年2月4日付けで発行されています。
• 認定されたシステムは稼働中のシステムです。Diditの生体認証ライブネスは、統合されている受動的および能動的ライブネスモジュールと同一のものです。

プレゼンテーション攻撃検知とは

プレゼンテーション攻撃とは、センサーに偽物（印刷された写真、ビデオ再生画面、紙マスク、シリコンマスク、切り抜きなど）を提示することで、生体認証システムを欺こうとするあらゆる試みを指します。プレゼンテーション攻撃検知（PAD）は、それらの偽物を検知して拒否しつつ、本物の生きたユーザーを受け入れるシステムの能力です。

ISO/IEC 30107-3は、PADシステムを客観的にテストする方法を定義する国際標準です。ベンダーがマーケティング用語でスプーフィング対策を説明するのではなく、この標準は構造化された方法論を設定しています。攻撃タイプ（「種別」）の定義されたセット、本物の被験者のセット、そして攻撃が成功する頻度と本物のユーザーが誤って拒否される頻度を定量化するメトリックです。攻撃者側の主要なメトリックはIAPAR（Impostor Attack Presentation Accept Rate）で、システムが誤って受け入れてしまう攻撃提示の割合です。数値が低いほど優れており、0%は攻撃が一切成功しなかったことを意味します。

iBetaがテストを実施する方法

iBeta Quality Assuranceは、ISO/IEC 30107-3 PAD評価を実施するラボの一つであり、NIST/NVLAP（テストラボコード200962）の認定を受けています。これは、国家認定プログラムがこれらのテストを実施するラボの能力を検証したことを意味します。この認定があるからこそ、結果に信頼性が生まれます。攻撃はベンダーではなく、独立した専門ラボによって設計および実行されるためです。

Diditの評価では、テストは次のように構成されました。

• 6人の登録被験者が、それぞれ5回の本物認証に成功し、実際のユーザーが通過することを確認しました。
• 6種類のプレゼンテーション攻撃が、被験者1人あたり10回試行され、合計360回の攻撃試行（6種類の攻撃 × 10回 × 6人の被験者）が行われました。
• テストされたシステムは、iOS 18.4.1を実行するApple iPhone 13 Pro上のネイティブSafariを介してアクセスされるDidit Biometric Authentication v2.0で、バックエンドのクラウドコンポーネントを含んでいました。これは実際のデバイスとクラウドの構成です。
• テスト期間：2026年1月5日から2026年2月4日まで。コンプライアンスレターは2026年2月4日付けで、iBetaの生体認証ディレクターが署名しています。

結果：PA成功率0% / IAPAR 0%。360回の攻撃試行すべてにおいて、スプーフィングは一度も受け入れられませんでした。システムはISO/IEC 30107-3レベル1に準拠しています。

レベル1対レベル2 — 正直な報告

ISO/IEC 30107-3 PADテストには、システムに対する攻撃の洗練度に応じてレベルが異なります。レベル1では、容易に入手できる低コストのプレゼンテーション攻撃機器を使用します。レベル2では、より洗練された特注の機器を導入します。

Diditの結果はレベル1であり、Diditはそれをレベル1として報告しています。レベル2とは主張していません。これらのレターに典型的な12ヶ月ごとの再テストのサイクルは、次の評価が2027年2月4日頃に予定されていることを意味し、その時点でレベル2へのアップグレードを検討できます。レベルについて正確であることは重要です。スプーフィング対策を評価する購入者は、「レベル1」がレベル1を意味すると信頼できるはずです。

その重要性

ライブネスは、最も一般的で、かつ最も大規模な本人確認詐欺（物理的に存在しないにもかかわらず、他人の写真やディープフェイク動画を提示すること）を阻止する制御機能です。規制対象のオンボーディングフローにおいて、ライブネスの強度は、生体認証にどれだけ自信を持って依存できるかに直接影響し、規制当局はスプーフィング対策が主張ではなく証拠によって裏付けられることをますます期待しています。

独立したPADテストの結果は、スプーフィング対策の主張を証拠に変えます。「当社のライブネスは堅牢です」はマーケティングです。「ISO/IEC 30107-3に基づく認定されたiBetaレベル1評価において、360回の試行で攻撃成功率0%」は、コンプライアンスチームがセキュリティ質問票や規制当局への提出書類で引用できる事実です。

Diditが提供するもの

製品に組み込まれた、独立してテストされたライブネス。 iBetaが評価した生体認証ライブネスは、Diditの認証フローを支えるものと同じです。パッシブライブネスは0.10ドル、アクティブライブネスは0.15ドルで利用可能で、顔照合（1:1）は0.05ドルです。完全なコアKYCバンドル（本人確認、パッシブライブネス、顔照合、IP分析）は、1認証あたり0.33ドルで、2秒未満の推論速度です。

配布可能な結果。 iBetaレベル1 PADコンプライアンスレターは、リクエストに応じて配布可能であり、Diditのサイトからリンクされています。これにより、NDAなしで、マーケティング、セキュリティ質問票、規制当局への提出書類において生体認証およびスプーフィング対策の主張を裏付けることができます。

正直な報告。 Diditは、獲得した結果（レベル1、360回の試行でIAPAR 0%）を報告し、レベル2として過大に評価することはありません。更新カレンダーは、2027年2月4日頃に予定されている再テストを追跡しています。

完全な認証スタックの一部。 iBetaの結果は、ISO/IEC 27001:2022認証（証明書番号ES144068）、SOC 2 Type 1認証（セキュリティ、可用性、機密性）、そしてDiditのリモート認証が対面基準を超えるというスペイン政府サンドボックスの結論（それ自体がアクティブライブネスを備えた顔生体認証に基づいて構築されている）に加わります。iBetaテストが測定する生体認証の強度は、政府の結論が達成可能であった理由の一つです。

ユースケース

• 監督者または監査人にスプーフィング対策を証明する必要がある規制対象のオンボーディング。
• プレゼンテーション攻撃が頻繁な詐欺ベクトルとなる高リスク業種（フィンテック、暗号通貨、iGaming）。
• ISO/IEC 30107-3 PADテスト結果を具体的に尋ねるセキュリティ質問票。
• 信頼できるライブネスチェックに依存する年齢確認および生体認証フロー。

よくある質問

DiditはiBetaレベル1ですか、それともレベル2ですか？

レベル1です。DiditはISO/IEC 30107-3に基づくiBetaレベル1 PADテストに、攻撃成功率0%で合格しました。Diditはレベル1であることを報告しており、レベル2を主張していません。レベル2へのアップグレードは、次回の再テスト時に検討されます。

IAPAR 0%とはどういう意味ですか？

IAPAR（Impostor Attack Presentation Accept Rate）は、システムが誤って受け入れてしまうプレゼンテーション攻撃の割合です。0%は、評価における360回の攻撃試行すべてにおいて、スプーフィングが一度も受け入れられなかったことを意味します。

いくつの攻撃がテストされましたか？

360回の攻撃試行です。6種類のプレゼンテーション攻撃が、登録された6人の被験者に対してそれぞれ10回試行されました。

誰がテストを実施しましたか？

NIST/NVLAP認定テストラボ（ラボコード200962）であるiBeta Quality Assuranceが、ISO/IEC 30107-3に基づいて実施しました。コンプライアンスレターは2026年2月4日付けです。

iBetaの結果は入手できますか？

はい。iBetaレベル1 PADコンプライアンスレターは、リクエストに応じて配布可能であり、Diditのセキュリティおよびコンプライアンスハブからリンクされています。

始める準備はできましたか？

セキュリティおよびコンプライアンスハブでDiditの完全な認証スタックを確認し、本人確認製品ページでライブネスと生体認証チェックを探索し、料金ページで透明性のあるチェックごとの料金を確認してください。準備ができたら、無料で開始しましょう。毎月500回の無料KYCチェックが利用でき、すべてのフローでiBetaレベル1テスト済みのライブネスが提供されます。