ニュース, Privacy

[更新] 研究者によると、年齢確認サービスプロバイダーのPersonaがフロントエンドを無防備な状態にしていた

2026 ピーター・アルンツ| 2023年2月
年齢確認チェック

2026年3月13日更新

Persona社から、以下の点を明確にするため連絡がありました:

  • 公開テスト環境は本番システムから隔離されていました。
  • 個人情報は一切漏洩していません。
  • Personaの顧客で、269種類あるチェックをすべて利用している人はいません。
  • ペルソナは、いかなる連邦政府機関とも提携していません。
  • Personaはデータの処理のみを行い、データの取り扱いおよび削除については、お客様が管理します。

この事後検証レポートでは、ペルソナによる問題の説明と対応策をご覧いただけます。 

どうしたの?

Discordの年齢確認システムを調査した研究者らは、同社が利用する本人確認ベンダー「Persona」に属する公開されたフロントエンドを発見したと報告している。これは単なる「未成年者保護ツール」をはるかに超えた、広範な監視と金融情報分析の基盤を露呈するものであった。

つい先日、Discordが年齢確認を行うまでプロフィールをティーン向けモードに制限すると報じられた。つまり、これまで通りDiscordを利用したいユーザーは顔認証を許可する必要があり、ネット上では大きな反発が巻き起こった。

これらのスキャンを分析するため、Discordは生体認証による本人確認スタートアップ企業Persona Identities, Inc.を利用している。同社は生体認証による本人確認を基盤とした顧客確認(KYC)および資金洗浄防止(AML)ソリューションを提供し、ユーザーの年齢推定を行っている。

プライバシーへの影響を実証するため、研究者が詳細に調査したところ、米国政府が認可したサーバー上に公開されたPersonaフロントエンドを発見した。そこには2,456のアクセス可能なファイルが存在していた。

その通りです。研究者の「Celeste」によると、現在削除されているこの公開されたコードは、通常の業務環境から隔離されていたと思われる、米国政府公認のエンドポイント上に存在していました。しかし、Personaはその後ブログ記事で、「このドメイン全体に連邦政府の顧客は一切存在せず、顧客データも一切保有していない」と明らかにしました

研究者らは、これらのファイルから、「Persona」ソフトウェアが実行可能な広範な監視機能に関する詳細を発見した。同ソフトウェアは、年齢の確認に加え、269種類の異なる検証チェックを実行し、監視リストや政治的に影響力のある人物(PEP)との顔認証比較を行い、テロやスパイ活動を含む14のカテゴリーにわたる「ネガティブな報道」をスクリーニングし、リスクスコアや類似度スコアを割り当てることができる。

Personaは、IPアドレス、ブラウザおよびデバイスのフィンガープリント、政府発行のID番号、電話番号、氏名、顔画像に加え、不審な人物の検出、ポーズの繰り返し検出、年齢の不整合チェックといった一連の「セルフィー」分析データを収集し、最大3年間保持することが可能です。 「Celeste」が調査結果をオンラインで公開した後、PersonaのCEOであるリック・ソング氏はソーシャルメディアプラットフォーム「X」で次のように述べた。「当社はお客様の身元を安全に確認し、顧客の要請に基づき必要な期間のみ保持し、その後できるだけ速やかに削除しています。」

年齢確認が大きな話題となっている今、この種のニュースはプライバシー擁護派に「年齢確認が我々の利益になる」と納得させるものではない。年齢確認チェックで取得したデータをデータブローカーや外国政府(報道によれば英国ではDiscordがPersonaを試験導入)に送信する行為は、ユーザーがこの種の監視に安心して従うために必要な信頼を築くことにはならない。

これは、年齢確認が実際にその目的を果たしているのかという広範な疑問が浮上する中で起こっている。ユーロニュースは、16歳未満のソーシャルメディア利用を禁止する世界最先端のオーストラリアの規制の効果を検証した。 オーストラリアの新規制は施行からわずか6週間だが、同国のインターネット規制当局はTikTok、Instagram、Snapchat、YouTube、X、Twitch、Reddit、Threadsなどのプラットフォームで16歳未満が保有する約470万アカウントを閉鎖したと発表している。しかし子どもや保護者からは全く異なる実態が語られている。十代の若者、保護者、研究者へのインタビューによると、多くの子どもが単純な回避策で禁止アプリにアクセスし続けているという。

The Rageによれば、Discordは年齢確認にPersonaを継続使用しないことを表明した。ただし、Personaを使用していると報告されている他のプラットフォームには以下が含まれる:

  • Roblox:チャット利用のための年齢確認システムの中核として、ペルソナの顔年齢推定技術と本人確認を採用している。
  • OpenAI / ChatGPT: OpenAIのヘルプセンターでは、18歳以上であることを確認する必要がある場合、「Personaは当社が年齢確認を支援するために利用する信頼できる第三者企業です」と説明しており、Personaがライブセルフィーや政府発行の身分証明書の提示を求める可能性があるとしています
  • ライム:ライドシェアサービスは、各地域の固有の要件を満たすため、Personaを活用したカスタム年齢確認フローを導入しています。

詐欺師はあなたの端末をハッキングする必要はありません。あなたが一度クリックするだけでいいのです。 

Malwarebytes Identity Theft 、不審な動きが問題となる前に検知します。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
テスは前払い金詐欺を調査する

この昔ながらの手口は、今でも通用している

4月17, 2026

テスを派遣し、定番のナイジェリア式前払い詐欺に新たな手口が加わった事件を調査してもらいました。残念ながら、こうした古い手口の詐欺は、依然として効果を発揮しているため、今なお横行しています。

製品
Browser Guardのアクセス制御

「Browser Guard 」は、アクセス制御機能によりさらにBrowser Guard 

4月16, 2026

煩わしい権限のポップアップを管理し、どのウェブサイトがカメラ、マイク、位置情報にアクセスしたり、通知を送信したりできるかを細かく設定しましょう。

ニュース
iPhoneにAppleロゴが表示される

「iCloudのストレージ容量がいっぱいです」という詐欺が再発しており、今度は支払い情報の入力を求めてきます

4月16, 2026

Appleユーザーの皆様:支払い情報の入力を急がせる「今すぐアップグレードしないと写真が失われます」といった詐欺にご注意ください。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺