顔認証に20ドル：仮想通貨業界におけるKYC（顧客確認）の地下生産ライン。

執筆者：angelilu、Foresight News

「現在、お住まいの地域ではこのサービスはご利用いただけません。」

このメッセージを何度見たか数えきれない。今回は万全の準備を整えた。パスポートを取り出し、カメラの前面と背面を撮影し、自撮りモードに切り替えて、身分証明書を持った自分の写真を撮り、画面の指示に従ってうなずいたり、首を振ったり、まばたきをしたりした。全工程は約10分かかり、前回よりも慎重に行った。その後、ページがリダイレクトされ、「送信成功、審査待ち」と表示された。

3日間待ちました。4日目にページを更新しましたが、ステータスは依然として「審査中」のままでした。出金機能は「本人確認完了待ち」という理由で停止されていました。参加を希望していたプロジェクトの登録期間は48時間後に終了します。

あるいは、待つ必要すら全くない場合もあります。私が何らかの操作をする前に、ページがIPアドレスを特定し、すぐに「お住まいの地域では現在サービスがサポートされていません」というメッセージを表示します。理由の説明も、異議申し立ての方法も、他にできることの説明もありません。協力したくないわけではありません。そもそも協力する権利すら与えられていないのです。

これは私たちがよく遭遇する状況であり、仮想通貨業界における最も一般的な障壁です。それはKYC（顧客確認）です。KYCは「コンプライアンス」という言葉の中で最も重要な部分であり、アクセスするには自分が誰であるかを証明しなければなりません。

過去5年間で、一部の大手取引所は、顧客確認（KYC）プロセスをSumsubやJumioといった商用の本人確認システムに徐々にアウトソーシングしてきた。コンプライアンス費用は「商品化」され、継続的な支出となっている。大手プラットフォームでは、この支出は数百万から数千万米ドルに達している。

複数の仮想通貨決済業界の専門家がForesight Newsに語ったところによると、業界は依然としてSumsubやJumioといった第三者サービスプロバイダーにKYC手続きを強く依存しており、これらのソリューションはグローバルなデータカバレッジとコンプライアンス機能において大きな利点を持っているという。

しかし、取引量の増加とリスク管理の要求の高まりに伴い、一部の大手金融機関は、コスト、合格率、リスク管理のバランスをより良く取るために、「自社構築のリスク管理＋第三者によるKYC」というハイブリッドモデルを模索し始めている。

しかし、この壁がどれほど高く築かれようとも、地下市場は既に独自の価格を設定している。そして、この壁の向こう側には、このシステムに低コストで侵入することに特化した、完全な地下産業チェーンが存在する。侵入費用は20 USDTで、取引所が要求するすべての認証プロセス（パスポートまたは運転免許証のアップロード、顔認証、居住証明など）を1つのパッケージで提供する。

50万人。誰もその規模を数えたことのない市場だ。

「政策があれば対策がある」という原則に基づき、オンラインで「Web3 KYC」を検索し始めた。しかし、チュートリアルよりも警告ばかりが目に入った。

CertiKが2023年に発表した報告書では、20以上のアンダーグラウンドKYC市場を調査し、当時の参加者総数が50万人を超え、東南アジアを中心に様々なプラットフォームで認証済みアカウントの売買を専門としており、グループ規模は4,000人から30万人まで様々であることが判明した。

サイバーセキュリティ企業のZeroFoxはかつて、1年間で100万件以上のKYCアカウント販売に関する投稿が公開フォーラムやTelegram上で発見されたと推定しており、それらのアカウントにはCoinbase ProやKrakenといった主要なコンプライアンス準拠取引所が含まれており、価格は150ドルから500ドルに及んでいた。

CoinDeskの調査では、より直接的なアプローチとして、検証のために複数のアカウントを購入した。各アカウントには、実在のユーザーの名前、住所、生年月日が紐付けられており、米国居住者の場合は社会保障番号まで含まれていた。その後、公開データベースを検索し、アカウントの詳細と完全に一致する情報を持つ4人の実在の人物を発見し、書面で通知を送った。これらの人物は、自分の名前が見知らぬ人物の取引所アカウントに紐付けられていること、そしてそのアカウントにパスワードを設定したことがないことを全く知らなかったと報告した。

技術的な側面も同時に悪化している。Sumsubの2025年版本人確認詐欺レポートによると、ディープフェイク攻撃は過去3年間で2000%以上増加し、現在では本人確認詐欺の試み全体の約15分の1を占めている。

攻撃経路は3層構造を形成する。

最下層では、高解像度スクリーンと偏光フィルターを組み合わせて反射を除去することで、「ビデオ再生」画像が実際の撮影画像に光学的に非常に近いものとなる。
第2層はフックインジェクション攻撃で、スマートフォンのカメラのシステムコールインターフェースを直接乗っ取り、事前に録画された4Kビデオをアプリケーションのキャプチャウィンドウに「送り込む」。アプリケーションが「見ている」のはカメラのリアルタイム出力だが、実際に流れ込んでいるのは事前に準備されたビデオである。
第3層は、ワンクリックで顔交換が可能なAIツールです。写真をアップロードするだけで顔が生成され、攻撃のハードルはゼロになります。実在人物の生体認証システムを突破する平均コストは10ドルで、投資収益率は最大1400%にも達します。

Threat Hunterの「 2025年グローバルKYC攻撃リスク調査レポート」によると、仮想通貨取引所とウォレット決済プラットフォームは、すべてのKYC攻撃の主要標的であり、攻撃全体の78%以上を占めている。最も多く販売されている攻撃用素材は「住所証明」ファイルだが、その理由は単純で、住所証明ファイルは頻繁な更新が必要なのに対し、AIは一括で生成できるからである。

これらの数字は、詐欺、なりすまし、そして組織的な犯罪サプライチェーンという明確な実態を描き出しています。参加者50万人、公開取引された売買投稿100万件、そしてCoinbase、Binance US、Krakenといった主要なコンプライアンス準拠取引所の口座数。これは特定のプラットフォームにおける孤立した事例ではなく、暗号資産コンプライアンスシステム全体が直面する構造的な脆弱性です。KYC（顧客確認）が存在する限り、それを回避する市場は存在し続け、しかも相当な規模で展開されるでしょう。

各報告書は「脅威主体」「闇市場」「違法行為」といった非常に具体的な用語を用いている。しかし、それらには共通の盲点がある。それは、規制当局やセキュリティ企業の視点から、まるでガラス窓越しに火事を描写しているかのように、外部からの視点でしか捉えられていない点だ。

しかし、毎日Telegramで「オンライン」になっている人々が実際には誰なのか、彼らは自分たちの行動をどのように認識しているのか、そしてこのビジネスが実際に誰にサービスを提供しているのかを説明する報告書は存在しない。

私は業界関係者に話を聞いてみることにした。

闇市場のKYC業者：2年間で600件の取引

TelegramでKYCを検索すると、数秒以内に多数のアカウントが表示されます。

3月上旬、私は信頼できそうなKYC仲介業者を無作為に選びました。ところが、対応してくれたのは5語程度の返答しかしない冷淡な男でした。私の質問のほとんどに「はい」とだけ答え、得られた情報は「CoinListのKYCは40ドル」「CoinbaseのKYCは20ドル」といった価格の見積もりだけでした。

長い沈黙の後、相手から少し長めのメッセージが届いた。「では、一緒に仕事しませんか？」その文章は、まるで別の言語から無理やり翻訳したかのような不自然さだった。コラボレーションについて話し合っているようにも聞こえたが、おそらく単なる取引の誘い文句だったのだろう。会話を続けるのは困難だった。

そこで、彼が教えてくれたTRONブロックチェーンの受取アドレスをブロックチェーン上で確認してみました。このアドレスは2024年1月から運用されており、26ヶ月間にわたる600件以上の取引で59,243 USDTを超える資金が流入しています。しかし、純保有額はゼロです。

すべての取引は短時間のうちに迅速に資金が回収され、同じアップストリームアドレスに転送された。この流れを追跡すると、資金は最終的にTRONチェーン上のOKXのホットウォレットに送金されていた。KYC（本人確認）を回避する手助けをしたこの仲介者は、稼いだお金をすべて取引所に預け入れていた。

ある匿名の販売業者は、規模はそれほど大きくないものの、2年間で約6万ドルの収益を上げ、600件の取引を行った。祝日も閑散期もなく、新製品の発売による需要の増減だけがあった。しかもこれは、たった1つの住所、1つの販売業者、1つのチェーン店に過ぎない。

その繋がりは私には繋がらず、そこで途絶えてしまった。匿名の人は話してくれない。もっと話してくれる人を見つけなければならない。

KYCの「ビジネスマン」：5年間で数十のプラットフォーム

XでついにKYCサービスを専門とする「ビジネスマン」を見つけました。友人の紹介で彼をSNSでフォローしたところ、インタビューに応じてくれることになりました。

彼の名前はマオリで、幅広い製品を提供する「ブロックチェーンサービスプラットフォーム」を運営している。

MaoliはWeb3 KYCサービスについて、「ファンの方々のニーズに基づいて様々なチャネルを探し、時間をかけて調査し、徐々にこのビジネスを構築していきました」と語った。

MaoLiは創業から5年が経ちました。現在はアシスタント1名で事業を運営しており、ほとんどの商品は自動発送されています。彼の製品カタログは数十のプラットフォームを網羅し、価格は人民元で表示されています。価格が高いほど、そのプラットフォームへの参加が最近始まったばかりで人気が高いか、あるいは本人確認のハードルを越えるのが難しいことを示しています。

「一度設定すれば、基本的には自動化されます。それに、今ではAIによる支援も受けられます」と彼は言った。「操作に多くの人員は必要ありません」。例外は市場が好調な時、つまり新規プロジェクトが多数ある時で、彼は1日に最大12時間働くこともある。市場が低迷している時は、Xの運用に時間を費やす。

「ブロックチェーン業界のすべてのファンにサービスを提供する、庶民のための小さな店です」と彼は自身のビジネスについて説明した。

彼の顧客は中国語圏全体に広がっている。中国本土、香港、台湾、マレーシア、韓国、そしてアメリカ合衆国だ。中でも中国本土のユーザーは最も直接的なニーズを抱えている。多くのIPOプラットフォームは中国のIPアドレスをブロックしており、パスポートや身分証明書をアップロードしても、異議申し立ての手段も説明もなく、システムが自動的に拒否してしまうのだ。

「彼らは活動に参加するためにアカウントを購入するのです」とマオリ氏は語った。アカウントを渡すたびに、彼は必ずリスク警告を添える。「このアカウントは他人の情報を使って登録されているため、プラットフォームに多額の資金を保管しないでください。少額ずつ参加し、必要に応じて引き出してください。」彼が警告する「リスク」とは、アカウントが元の所有者によっていつでも取り戻される可能性があることだ。他人の身元情報を使って金融アカウントを登録することは、ほとんどの法域で身元詐称に該当する。

新興産業チェーン

注文はどのようにして完了するのでしょうか？マオリ氏は、販売前の相談、支払い、彼が「資格のある外国人」に連絡する、外国人が事前に訓練された手順に従って操作し、KYCを完了する、アカウントが購入者に譲渡される、購入者がセキュリティ設定を確認および変更し、注文が完了するという全プロセスを説明しました。

彼が最も印象に残っている顧客は、プロのインキュベーションチームの責任者である韓国人男性で、いつも大量の注文をしていた。「彼はいつもプロジェクトチームと協力して、膨大な数のアカウントを購入していました」とマオリは語った。「彼は私を通して大儲けしたと言っていましたが、私はそれほど儲けていません。彼はリソースから利益を得ていましたが、私はKYC（顧客確認）で苦労して稼いだお金で利益を得ていたのです。」

つまり、この業界チェーンは複数の階層から成り立っている。需要者として活動する韓国のインキュベーションチームは、アカウントを通じてプロジェクトに一括で参加することで利益を得ている。Maoliのような仲介業者が存在するのはそのためだ。最下層には、情報検証を行う「外国人」がいる。彼らは必要なKYC（顧客確認）手続きを完了し、その見返りとして少額の報酬を得る。

「外国人」は世界中からやって来る。東南アジア、東アフリカ、ラテンアメリカなどで「オンラインのアルバイト」を装って注文を受け、うなずいたり、首を振ったり、まばたきしたりといった動作を指示通りに行い、数ドルから数十ドル相当の報酬を受け取る。

マオリ氏は「外国人」にいくら支払われたかは明言しなかったが、ロシアのフォーラムで出回っている募集投稿には、「必要なのはあなたの顔だけ。WhatsAppによるビデオ認証を完了してください。1回につき1,500～2,000ルーブル（約17～23ドル）、1日に複数回」と書かれていた。

Worldcoinはカンボジアとケニアで球状虹彩スキャン装置を導入したことで、この現象を一時的に世間の注目を集めた。30ドル以下の価格でWorld IDの闇市場が出現し、2024年にはタイ当局が収集した120万件の虹彩データセットの削除を命じ、インドネシアはWorldcoinの全ての活動を停止した。しかし、Worldcoinは氷山の一角に過ぎず、ブランド力があり、ジャーナリストが調査できるようなストーリーを持つ側である。

価格設定には別の論理もある。「地域が発展すればするほど、KYC（顧客確認）の費用は高くなる」とマオリ氏は語る。「提示した料金が朝食代にも満たないような金額であれば、彼らは協力してくれないだろう」。米国からの注文は最も難しく、書類手続きを完了させるために、顧客が外国人をニューヨークに連れてくる必要がある場合もある。

彼が扱う取引にはすべてアフターサービス条件が付いており、保証するのは「初回ログイン」の成功のみだ。「取引所やプラットフォームのリスク管理ルールは、我々がコントロールできるものではない。彼らはいつでもルールを変更できるからだ」と彼は説明する。購入者がアカウントを受け取ると、まず最初に行うのは、リンクされたメールアドレスを変更し、二段階認証を設定し、未知のデバイスをブロックすることだ。チャンスはほんの数時間しか続かないかもしれない。

彼はまた、それが不可能な状況もあることを認めた。「ログインするたびに顔認証が必要なアカウントは作成できません。外国人がログインのために顔認証を受けるために何度も中国へ渡航するわけにはいかないからです。」さらに彼は、「この論理に従えば、非常に厳格なリスク管理を行っているプラットフォームは、通常、ユーザーやデータが不足しているわけではなく、特に魅力的なプロモーションも提供していないため、購入する人はほとんどいないでしょう。」と付け加えた。

Web3 KYCは、枠付きの空っぽの扉のようなものだ。

ナマズは自分の役割を明確に理解している。

仮想通貨業界におけるKYC（顧客確認）が本来の目的を果たしているかという質問に対し、彼は「KYCは誰もが知っている基準です。プラットフォーム側もユーザー側も、自分たちが何をしているのか理解しています。真に業界に参加したいと考えている人にとって、KYCは障害ではなく、むしろスクリーニング方法なのです」と答えた。

彼の説明によれば、それは三方良しの取引だった。ユーザーはプラットフォームへのアクセス権を得て、取引所は新規ユーザーとデータを獲得し、彼はサービス料を徴収できた。「三方良しだ」と彼は言った。

彼のアフターサービスに関する通知には、重要な情報が隠されている。「このアカウントは他人の情報を使用して登録されているため、プラットフォーム上に多額の資金を保管しないでください。少額ずつ参加し、必要に応じて引き出してください。」彼の言う「外国人」は、知識があり、料金を支払っている参加者だ。しかし、「他人」という言葉は、アカウントの背後に実在の人物がいて、いつでも権利を主張できる人物がいることを示唆している。

しかし、CoinDeskの調査によると、より大きな市場では、一部のアカウントが、本人の知らないうちに、実際の住民の名前、住所、社会保障番号と紐付けられていることが明らかになった。これらの人々は、「三方良し」のシナリオには含まれていない。

マオリはこの市場でインタビューに応じてくれる数少ない人物の一人だ。彼の背後には推定50万人の参加者、約100万件の販売投稿、そして今もなお稼働している非公式なシステムが存在している。

注：この記事で言及されているTelegramの会話記録およびオンチェーンデータは、著者が調査を通じて入手したものです。