盗難・合成された個人情報による融資詐欺：手口と防止策 (JA-1)

本物の名前。本物の社会保障番号。何年もかけて築き上げられた信用履歴。しかし、申請している人物は、その身元の持ち主ではありません。そもそも、実在する人物ですらないかもしれません。

盗難および合成された個人情報を使用する融資詐欺は、ほとんどの従来の信用管理を迂回します。なぜなら、入力された情報が正当に見えるからです。書類はスキャンを通過し、身元には信用ファイルがあり、申請には明らかな不一致がありません。詐欺は、お金が消えてしまうまで表面化しません。

この投稿では、これらの攻撃がどのように機能するか、各タイプがどのように異なるか、そして申請段階でそれらを確実に阻止するチェックについて説明します。

主なポイント

• 合成ID詐欺は、本物と偽りの断片（本物のSSN、もっともらしい名前、偽造された信用履歴）から偽の人物を作り上げ、バストアウトが起こるまで被害者が報告することはありません。
• 第三者による融資詐欺は、完全に盗まれた身元を使用します。つまり、自分の名前で融資が行われていることを全く知らない実在の人物です。
• どちらのタイプの攻撃も、同じ悪用可能なギャップを共有しています。それは、書類は確認するが、その背後にいる生身の人物は確認しない貸し手です。
• 0.33ドルのKYCチェック（ID認証 + パッシブライセンス + 顔照合1:1 + デバイス＆IP分析）により、信用決定が下される前にそのギャップを埋めます。
• デバイス＆IP分析は、個々の本人確認では見逃される、繰り返しの申請パターンや詐欺グループを捕捉します。

融資詐欺の実際の手口

第三者詐欺：盗まれた個人情報

詐欺師は、データ侵害、ダークウェブでの購入、フィッシングなどを通じて実在の人物の個人情報を入手し、それを使って信用を申請します。被害者は最終的に自分の信用報告書で融資を発見することになりますが、詐欺師は返済するつもりは一切ありません。

ほとんどの融資認証は書類中心で後方参照的です。つまり、書類が本物であり、詳細が信用ファイルと一致することを確認します。しかし、どちらのステップも、書類を提出している人物がその書類の持ち主であることを確認するものではありません。

合成ID詐欺：偽造された人物

合成ID詐欺（SIF）は、当初は報告する被害者がいないため、発見がより困難です。合成IDは以下の要素を組み合わせたものです。

• 本物のSSNまたは国民ID番号。多くの場合、子供、高齢者、または最近死亡した個人のもので、信用情報を監視する可能性が低い人物のものです。
• 偽造された名前と生年月日。もっともらしいが、SSNの持ち主とは無関係です。
• 構築された信用履歴。合法的なアカウントに合成IDを便乗させ、数ヶ月かけて薄いファイルを作成します。

合成IDが利用可能な信用スコアを獲得すると、詐欺師は融資やカードを申請し、限度額を上げるのに十分な程度に債務を返済した後、バストアウトを実行します。つまり、すべての信用枠を同時に最大限に利用するのです。貸し手には貸倒れが残ります。SSNの持ち主は、自分の番号が見知らぬ人の信用ファイルに紐付けられていることを発見します。

第一者詐欺と組織的な詐欺

第一者詐欺は、詐欺的な意図（借り手が返済するつもりがない）を持つ実在の個人情報を使用します。個々のケースは本人確認の信号だけでは発見が困難ですが、第一者詐欺は組織的な詐欺グループに集約されます。これは、非公式なネットワークを通じて勧誘された、それぞれが融資を受け、資金を移動させるコーディネーターがいる、連携した個人たちです。デバイスとIPの信号は、これらのグループ（同じデバイス、サブネット、または物理的な場所からの複数の申請）を表面化させます。

貸し手が放置している認証のギャップ

書類のスキャンは、書類が明らかに偽物ではないことを確認します。信用調査は、名前とID番号の履歴が存在することを確認します。しかし、どちらのチェックも、重要なギャップである申請者が書類の所有者であり、現在生きて存在していることの確認を埋めるものではありません。

ライブネスのないセルフィーキャプチャは、印刷された写真をかざしたり、カメラの前にビデオを再生したりすることで簡単に突破されてしまいます。生体認証のライブネスと顔照合がこのギャップを埋めます。

Diditがどのように役立つか

0.33ドルのKYCコアフロー

Diditのコア認証フローは、1回のセッションで4つのチェックを合計0.33ドルで実行します。

ID認証（0.15ドル） — 書類の真正性：セキュリティ機能、MRZの一貫性、利用可能な場合はNFCチップデータ、200以上の詐欺信号。220以上の国と地域の14,000以上の書類タイプに対応しています。

パッシブライセンス（0.10ドル） — 2秒未満で単一フレームのライブネス。ユーザーにまばたきや顔を向けることを求めることなく、プリント攻撃、ビデオ再生、AI生成のディープフェイク注入を検出します。ディープフェイクは急速に増加している攻撃ベクトルであり、パッシブライセンスは登録時にこれを阻止します。

顔照合1:1（0.05ドル） — 生身の顔と書類の写真を照合します。人物と書類が一致しない場合、フラグが立てられます。

デバイス＆IP分析（0.03ドル） — デバイスフィンガープリント、IPインテリジェンス、マスクされたトラフィック検出がすべてのセッションで自動的に実行されます。個別の統合は不要です。

これらが一体となって、盗難および合成詐欺の根底にある本人確認のギャップを埋めます。つまり、本物の書類 + 生身の顔 + 一致する顔 + デバイスネットワークのコンテキストです。

AMLスクリーニング（0.20ドル）

融資詐欺とマネーロンダリングはしばしば同時に発生します。DiditのAMLスクリーニングは、申請時に1,300以上の制裁、PEP（政治的要人）、および悪評リストをチェックし、信用決定が下される前にフラグが立てられた個人を捕捉します。

詐欺グループのためのデバイス＆IP分析

個々の本人確認は個々の詐欺師を捕捉します。詐欺グループにはネットワーク信号が必要です。

Diditは、すべてのセッションでdevice_fingerprintを返し、アカウント内のすべての以前のセッションと照合します。異なるIDの背後にある同じデバイス：DUPLICATED_DEVICE_FINGERPRINT。試行間にデバイスがリセットされた場合：DEVICE_RECOVERED_HIGH_CONFIDENCE。通常の融資申請におけるVPNまたはTorトラフィック：PRIVATE_NETWORK_DETECTED。アプリケーションのクラスター全体で同じIP：DUPLICATED_IP_ADDRESS。

各警告に対するアクション（承認、手動レビュー、厳格な拒否）はビジネスコンソールで設定できます。カスタムデータパイプラインは不要です。

ユースケース

消費者向け融資と個人ローン — 信用決定前に盗難IDの申請者を阻止します。パッシブライセンスは、ほとんどのセルフィーキャプチャステップでは対応できない写真やビデオ攻撃を阻止します。

BNPL — 承認が迅速で限度額が段階的に増加するため、合成ID詐欺は後払いサービス（BNPL）に集中します。0.33ドルのコアフローは、推論に2秒未満しか追加しません。

住宅ローンと自動車ローン — 高額な融資は、たとえ低い詐欺率であっても影響を増幅させます。オリジネーション時のAMLスクリーニングは、ファイルがアンダーライターに到達する前に、フラグが立てられた個人を捕捉します。

信用枠の増額 — 限度額を大幅に増額する前に、ライブネスとデバイスフィンガープリントを再確認します。バストアウトには余裕が必要です。転換点を捕捉することで露出を制限します。

Diditとの統合方法

1回のAPI呼び出しでセッションを作成し、Diditがホストするフローが、書類キャプチャ、ライブネス、顔照合、デバイス/IPを1回のパスで処理します。

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "applicant-456",
    "callback": "https://yourapp.com/kyc-complete"
  }'

申請者用にsession.urlを開き、GET /v3/session/{sessionId}/decision/またはsession.status.updatedウェブフックを介して結果を読み取ります。ペイロードには、書類の判定、ライブネスと顔照合の結果、AMLステータス、およびデバイスの警告を含むip_analyses[]が含まれます。

SDKはWeb、iOS、Android、React Native、Flutterで利用可能です。モジュールの設定はビジネスコンソールで行われ、ワークフローの調整にコードの変更は不要です。

よくある質問

パッシブライブネスは本当にディープフェイク攻撃を阻止できますか？

はい。ディープフェイク注入（生成されたビデオをカメラストリームに供給する）は、パッシブライブネスが検出するように設計されている攻撃の1つです。標準的な印刷や画面の攻撃に加えて、生成された合成信号や再生注入信号をフレームで分析します。アクティブライブネスは、よりリスクの高いフロー向けにチャレンジレイヤーを追加しますが、ほとんどの融資アプリケーションではパッシブで十分です。

貸し手にとって、合成ID詐欺と従来の身元盗用詐欺の違いは何ですか？

身元盗用の場合、信用を争う実在の被害者がいます。合成詐欺の場合、SSNの所有者は、自分の番号が別名で使用されていることに気づかないことが多く、バストアウトが起こるまで異議申し立てがないかもしれません。偽造された申請者は、他人名義のIDに対して、生身で一致する顔を提示することはできません。これが彼らを阻止するチェックです。

デバイス＆IP分析は、第一者詐欺グループにどのように役立ちますか？

グループのメンバーは、同じデバイスや場所から短期間に申請することがよくあります。DUPLICATED_DEVICE_FINGERPRINTとDUPLICATED_IP_ADDRESSは、これらのクラスターをリアルタイムで表面化させます。5人の「異なる」申請者が1つのデバイスを共有している場合、払い出し前に5人全員を手動レビューに回すのに十分です。

詐欺師がVPNを使用したり、アプリケーション間でデバイスのストレージをクリアしたりした場合はどうなりますか？

PRIVATE_NETWORK_DETECTEDは、VPN、プロキシ、Torトラフィックで発生します。ストレージがクリアされた場合、リカバリーモデル（DEVICE_RECOVERED_HIGH_CONFIDENCE）は、その信号ベクトルから以前に検出されたデバイスにセッションをリンクさせ、正当なユーザーにペナルティを与えることなくリセットを捕捉します。

始めませんか？

申請段階での融資詐欺の阻止は、カスタムのMLパイプラインや数ヶ月にわたる統合を必要としません。0.33ドルのKYCコアフローは、盗難IDおよび合成ID攻撃が依存する本人確認のギャップを埋め、デバイス＆IP分析は、個々のチェックでは見えないネットワークパターンを表面化させます。

• モジュールを学ぶ → ユーザー認証ドキュメント · AMLスクリーニング · デバイス＆IP分析
• 製品を見る → didit.me/products/id-verification
• 料金を確認する → didit.me/pricing — フルKYCフローで0.33ドル、月間500回の無料認証、最低利用額なし
• 無料で始める → business.didit.me