Veriftools:9ドルで偽造IDを作成するファームと、KYCがそれに対抗する方法
偽造パスポートは高価であるべきだ。かつてはそうだった。前世紀の大半において、精巧な偽造パスポートを作るには熟練した技術、本物の材料、そして時間が必要だった。しかしその後、veriftoolsのようなサービスが登場し、偽造身分証明書の価格はわずか9ドル程度にまで下がり、暗号通貨で支払うことができ、特別な技術も不要になった。これが現実であり、ウェブサイトを1つ押収したところで、この事実は変わらない。
2025年8月、FBIとオランダ国家警察はveriftoolsドメインと約640万ドル相当の仮想通貨を押収した。結構なことだ。しかし、ほぼすぐに再開した。そこでこの記事では、veriftoolsとは何だったのか、なぜこのような活動が何度も繰り返されるのか、偽造IDが実際にどのように本人確認を回避しようとするのか、そして9ドルの偽造IDを購入した人がどこでひっそりと損をするのかを検証する。簡単に言うと、効果的な防御策はドメイン登録業者にあるのではなく、本人確認の段階にあるのだ。
veriftoolsとは何か、そしてなぜ重要だったのか
Veriftoolsはテンプレートファーム、つまり文書偽造をポイント&クリック操作で行える「ジェネレーター」だった。個人情報を入力するだけで、本物そっくりの偽造身分証明書が生成される。偽造者も、暗室も、技術も一切不要だ。この工業化こそが問題の本質であり、文書偽造を行える人物の範囲を、少数の熟練犯罪者から、不満を抱えブラウザさえあれば誰でもできる人物へと拡大させてしまうのだ。
規模は小さくなかった。セキュリティ研究者や米国司法省の報告によると、veriftools は約 69 か国を網羅する約 250 種類の文書テンプレートを提供し、米国の 50 州すべての ID も含まれていた。偽造パスポート、運転免許証、銀行取引明細書、公共料金請求書をわずか 9 ドルで販売し、仮想通貨での支払いを受け付け、アフィリエイト プログラムを実施し、盗まれた、または合成された身元記録から作業する犯罪者のためのバッチ生成もサポートしていた。2024 年 2 月までに、月間約 285,000 人のユニークビジターを集めていた。2025 年 8 月、オランダの協力を得てニューメキシコ州地方裁判所が実行した摘発により、ドメインと 640 万ドルの仮想通貨が押収され、この事件は詐欺や個人情報盗難から国民を守るための一歩であるとされた。確かにそうだった。しかし、これで終わりではなかった。
ジェネレーターモデルを危険なものにしていたのは、個々の文書そのものではなく、その処理能力だった。静的なテンプレートは、偽造者が説得力のある内容に記入する必要があるが、ジェネレーターはそれを自動的に、しかも大量に、わずか数ドルの仮想通貨を保有する人なら誰でも行える。これにアフィリエイトプログラムが加われば、単なる商品ではなく、流通網が構築される。文書偽造はもはや職人技ではなく、サブスクリプション制へと変貌した。これは、見知らぬユーザーをプラットフォームに迎え入れるすべての人にとって、懸念すべき点である。
偽文書サイトが消滅しない理由
ここからが厄介な点だ。摘発は症状を抑えるだけで、根本的な解決にはならない。犯罪サービスという供給源は、一夜にして再生してしまうのだ。
押収が発表された同日、veriftoolsの運営者はTelegramで再開の告知を投稿した。数週間以内に、様々な拡張子の代替ドメインが稼働し、2025年10月までに、それらのドメインを合わせて月間約8万人の訪問者を集めた。これは珍しいことではない。ある本人確認会社は、より広範な偽造品サービス市場に約2万4000社の販売業者が存在すると見込んでいる。1社が潰れても、需要は単に次の業者に流れるだけだ。
その根底には、厳しい経済原理が存在する。インフラは安価で、顧客は匿名であり、決済手段は暗号通貨であるため、事業を再開するための限界費用はほぼゼロに近い。ドメインの差し押さえによってその費用はわずかに増加するが、根本的な状況は変わらない。
私は、ドメイン押収が無意味だと主張しているわけではありません。640万ドルを押収し、事業を妨害することは確かに重要です。しかし、「ドメインを押収した」というのはプレスリリースであって、弁護にはなりません。もしあなたのセキュリティ計画が、法執行機関による偽造文書の供給排除に依存しているなら、それは計画とは言えません。持続可能な解決策は、偽造文書が必ず出現すると想定し、出現した時点でそれを阻止することです。
偽造IDがKYCを回避しようとする手口と、その背後にある詐欺の急増
Veriftoolsのようなサービスから出る安価な偽造品が問題となる理由は、それらがはるかに大きな組織に資金を提供しているからである。身元詐欺はツールの登場と歩調を合わせて産業化しており、2025年と2026の数字は明白である。
合成文書およびAI生成文書
最も急速に成長しているカテゴリーは合成IDで、これは実在のデータと架空のデータを組み合わせ、表面的なチェックをすり抜けるものです。Sumsubの集計によると、北米では2024年初頭から2025年初頭にかけて合成IDによる文書詐欺が311%増加しました。Entrust Cybersecurity Instituteによると、デジタル文書の偽造は現在、文書詐欺全体の約57%を占め、前年比244%増加しています。偽造文書の約50件に1件はAIによって生成されています。これらには熟練した偽造者は必要なく、サブスクリプションが必要です。合成IDが特に厄介なのは、苦情を申し立てる被害者が一人もいないからです。IDは部分的に架空のものであるため、休眠状態になり、薄い履歴を蓄積した後、突然暴走する可能性があります。誰かが問題に気づく頃には、アカウントはすでに空っぽで消えています。
ディープフェイクとインジェクション攻撃
もう1つの脅威は、本人確認システムが実在の人物であることを証明するために利用するライブセルフィーです。攻撃者は現在、ディープフェイクやインジェクション攻撃を用いて、偽造された動画をカメラの映像に直接送り込むことで、このシステムを突破しています。生体認証企業iProovは、2024年には約5分ごとにディープフェイク攻撃の試みがあったこと、2025年にはiOSのインジェクション攻撃が741%増加したこと、そして仮想カメラ攻撃が2023年比で2,665%増加したことを報告しています。9ドルの書類と無料の顔交換ツールは、高額な犯罪を犯すための安価な道具と言えるでしょう。
この変化が重要なのは、生体認証こそが偽造するのが最も難しい部分だと考えられていたからだ。システムがカメラに映る動く顔が部屋にいる実在の人物のものであると単純に信頼している場合、挿入されたビデオはその前提を静かに覆してしまう。検出は「この顔は生身か」という問いから「このカメラ映像はそもそも本物か」という問いへと移行せざるを得なくなった。これはより難しく、より新しい課題である。
| 不正行為の兆候 (2025-2026) | 形 | ソース |
|---|---|---|
| 合成身分証明書詐欺、北米 | 前年比+311% | サムサブ |
| デジタル文書偽造、文書詐欺全体の割合 | 57%(前年比+244%) | 委ねる |
| AIが生成した文書 | 約50分の1が偽物 | サムサブ |
| ディープフェイクの試み頻度 | 約5分ごと | iProov |
| iOSインジェクション攻撃 | +741% (2025年) | iProov |
本人確認によって偽造文書が発見される仕組み
では、強奪で脱出できない場合、何が有効なのでしょうか?それは、入り口での検出です。9ドルの偽造文書を購入した人は、この展開を予想していません。なぜなら、多層的な検証システムは、証拠がない限り、文書が偽造であると想定するように設計されているからです。
文書鑑識とライブネス
文書自体から始めましょう。フォレンジックチェックでは、テンプレートではきれいに偽造できないもの、つまりピクセルレベルの不整合、フォントやレイアウトのずれ、メタデータの操作、提出物間でのテンプレートの再利用などを読み取ります。Resistant AI が veriftools の出力をテストしたところ、詐欺師がメタデータを削除しようとした後でも、ID、銀行取引明細書、公共料金請求書など、文書全体が高リスクであるとフォレンジックでフラグ付けされました。これが機能する理由は、ジェネレーターが機械ではなく人間にとって正しく見えるように最適化されているからです。運転免許証を一瞥した審査員は、もっともらしいカードだと認識します。フォレンジックエンジンは、同じテンプレートが何千もの他の提出物を生成したこと、フォント間隔がわずかにずれていること、セキュリティパターンが埋め込まれているのではなく印刷されていることを検出します。本物の人間がそこにいることを確認する 3D ライブネス検出、偽造されたカメラ映像を検出するインジェクション検出、最新のパスポートのチップから本物の署名付きデータを直接取得する NFC チップ読み取りを追加すると、安価な偽造文書には限界があります。
AMLスクリーニングとデータベースの相互チェック
書類が審査を通過したとしても、それはまだチェックの半分に過ぎません。AMLスクリーニングでは、対象者を制裁リスト、政治的に影響力のある人物のデータベース、ネガティブなメディア報道と照合し、登録後も監視を続けます。本人確認データは信頼できる情報源と照合され、同じフォレンジックシグナルがより広範な決済詐欺検出に利用されるため、偽造された書類が10個もの口座をひっそりと開設してしまうことはありません。書類が完璧に作成されていても、実際の記録と一致しない人物や、すでに監視リストに載っている人物の名前が記載されている可能性があります。継続的な監視によって、初日は問題ないように見えた口座が90日目にはリスクのある口座に変わってしまうことが発覚します。どの層も完璧ではありません。複数の層が重なり合うことで、9ドルの書類が損失につながるのです。
| 検証レイヤー | 捕獲するもの |
|---|---|
| 文書鑑識 | テンプレートの再利用、フォント、ピクセル、メタデータの異常 |
| 3D生体認証 | 写真、マスク、再生されたビデオ |
| 注入検出 | 仮想カメラとディープフェイクの映像 |
| NFCチップ読み取り | 署名のない文書にはチップデータが添付されていません。 |
| AML(マネーロンダリング対策)およびデータベースチェック | 公認された、捏造された、または不一致な身元 |
偽造品を放置することでプラットフォームが被る損失
これはどれも理論上の話ではない。veriftoolsのような業者による偽造文書は、こうした罰金が発生する口座に直接流れ込み、手続きを誤った場合の費用は急激に増加している。KYC(顧客確認)の失敗は、今や企業の存続に関わる金銭問題となっている。
年を見てみましょう。OKXは2025年2月、 50億ドルを超える不審取引に関連して、5億400万ドル以上の罰金を伴う米国司法省の訴訟で司法取引に応じました。検察側は、従業員が顧客に身分証明書を偽造するよう指示していたと述べています。KuCoinはその前月に司法省と約3億ドルで和解し、同年9月にはカナダでFINTRACから過去最高額となる1960万カナダドルの罰金を科されました。そして、罰金の額は上昇し続けています。EUのMiCA制度は2026年7月1日をCASPの厳格な承認期限とし、より広範なAML規制は2027年に施行され、罰金は数千万ドルに達します。偽造文書を容認するプラットフォームは、お金を節約しているのではなく、はるかに大きな請求書の支払いを先延ばしにしているのです。
これらは例外的なケースではありません。仮想通貨業界における最大規模の執行措置の一つであり、それらすべてに共通する要素は本人確認です。市場操作でもなければ、巧妙なハッキングでもありません。規制当局が繰り返し立ち返った疑問は、より単純でありながらも難しいものでした。つまり、誰がアクセスしたのか、そしてプラットフォームは実際にどのようなチェックを行ったのか、ということです。
| 執行事例 | 罰則 | いつ |
|---|---|---|
| OKX(米国司法省) | 5億400万ドル以上 | 2025年2月 |
| KuCoin(米国司法省) | 約3億ドル | 2025年1月 |
| KuCoin(カナダ金融取引報告分析センター) | 1,960万カナダドル | 2025年9月 |
購入を検討している人にとっての法的現実
個人購入者にとって、veriftoolsまたはその後継ドメインへの9ドルは安い部分だ。本当の価格は二重構造になっており、どちらの部分も過小評価されている。
まず、法律について。米国では、偽造身分証明書の作成または使用は、合衆国法典第18編第1028条に基づく連邦犯罪であり、最高15年の懲役刑が科せられ、加重身分窃盗の場合はさらに2年の懲役刑が義務付けられます。需要は依然として弱いものの、ある調査では、米国の若年成人の約30%が偽造身分証明書の購入を検討したことがあると回答しています。こうした軽率な需要こそが、この取引を危険なものにしているのです。ほとんどの購入者は、連邦犯罪ではなく、無害な小道具だと考えています。購入時の感覚と法律上の定義とのギャップこそが、人々を苦しめる原因となります。購入が軽率に感じられたからといって、結果が軽くなるわけではありません。
第二に、データです。説得力のある偽造品を作成するには、犯罪組織にあなたの本当の個人情報、写真、実際の詳細情報を提供する必要があります。あなたは取引において顧客というより、むしろ商品なのです。個人情報の盗難、恐喝、そして転売は、当然の次のステップです。プラットフォーム側では、偽造品としてフラグが立てられると、資金が凍結され、永久追放処分となります。購入者は、お金、アカウント、そして自身の身元管理権を失い、多くの場合、そのすべてを失うことになります。
この非対称性について率直に述べておく価値がある。偽サイトを販売した側は、削除命令を受け、翌朝には再登録できるドメインを失う可能性がある。一方、購入者は連邦記録に残る可能性がある。この取引全体は、顧客が法的リスクを負い、運営者が仮想通貨を回収して別の場所で再構築するという構造になっている。これは、誰も関わりたくない取引だ。
偽造IDの摘発よりも検出の方が効果的な理由
veriftoolsを押収しても、偽造IDは根絶されませんでした。次のファームは既にトラフィックを処理しており、その次のファームはTelegramチャンネルで最初のファームが閉鎖されるのを待っています。覚えておくべき教訓は、供給は回復力があるため、防御も同様に回復力が必要だということです。仮想通貨ビジネスにとって、それはすべての文書を疑わしいと想定し、フォレンジック、ライブネス、継続的なAML監視によって裏付けられた多層的な本人確認を意味します。それ以外の人にとっては、9ドルよりも簡単で安価な対策があります。買い手にならないでください。
