パキスタン国家ID、非接触指紋と顔認証を正式採用へ——指紋依存からの転換が生むセキュリティと包摂の再設計です

今日の深掘りポイント

• NADRA（国家データベース・登録庁）が国家・デジタルIDの正規生体として「非接触型指紋」と「顔認証」を導入し、指紋失敗時の代替ルートを制度化します。モバイルのPak IDアプリや登録センターでの運用が前提です。
• 顔認証の一時的な「認証証明書」は20パキスタンルピーで7日間有効という運用設計が示され、本人確認の“使い捨てトークン化”が加速します。
• 包摂性（高齢者・手作業従事者・医療条件で指紋が難しい層）を高める一方、プレゼンテーション攻撃、モバイルSDKのサプライチェーン、中央データベースの集中リスクなど新しい攻撃面が広がります。
• 技術よりも「実装とガバナンス」が勝負です。PAD（なりすまし検知）、テンプレート保護、短期証明書のTTL厳格化、API乱用対策、監査可能な保管・削除ポリシーを前提条件にすべきです。
• 短期的に現場への影響が出る確度が高く、金融・政府・モバイル事業者はKYCプロセス、監査、SOC検知の再定義が必要です。

参考情報: Biometric Updateの報道です。

はじめに

パキスタンが国家ID（対面・デジタル双方）に非接触型指紋と顔認証を正式に組み込む動きが具体化しました。これまで同国の本人確認は指紋が中核でしたが、指紋の磨耗や医療的事情による認証失敗問題が長年のボトルネックでした。今回の方針転換は「生体認証の単一依存」から「多様なモダリティの組み合わせ」へと舵を切るもので、サービス利便性と包摂性を押し上げると同時に、攻撃者の狙い所も再配置されます。制度と実装の設計次第で、IDの信頼は高まることも毀損することもあるため、いまの段階で脅威モデルと運用ガードレールを描いておく意義が大きいです。

本稿では、現時点で確認できるファクトを整理し、ID基盤に生じる新旧の攻撃面をMITRE ATT&CKに沿って仮説マッピングし、日本企業の現場で何を準備すべきかを具体化します。

深掘り詳細

ファクトチェック（報道で確認できる事実）です

• パキスタンの国家・デジタルIDに「非接触型指紋」と「顔認証」が追加され、指紋が使えない場合の代替経路として活用されます。NADRAが技術仕様を定め、登録センターとPak IDモバイルアプリで提供されます。オンラインのパスポート申請や車両登録でも適用予定です。
• 政府は新たな生体認証の定義を2025年中頃までに策定し、段階導入する方針です。
• 顔認証の新しい「証明書」は20パキスタンルピーで発行、有効期限は7日間です。
• 出典はいずれも以下の報道に基づくものです（公的ガゼットや省令の一次資料は記事時点で未確認のため、今後の公式発表を待つ必要があります）:
  • Biometric Update, 2026-01-03です。

注記: 一部で虹彩の取り扱いに関する議論がある旨の言及も見受けられますが、本稿は上記報道で確認できる「非接触指紋」と「顔認証」に焦点を当てます。虹彩については、一次情報の公表を待つのが妥当です。

編集部の視点（インサイト）です

• 指紋偏重からの脱却は「包摂性の向上」と「リスクの再配分」を同時にもたらします。非接触型指紋や顔は衛生的かつリモートフレンドリーですが、プレゼンテーション攻撃（マスク・写真・3D造形・指のレプリカ）への対策が実装品質に強く依存します。制度として認めるなら、PAD（Presentation Attack Detection）の性能要件と第三者評価をセットにする必要があります。
• 7日間有効の顔認証“証明書”という発想は、本人認証を短命なトークンに分解してリスクを局所化する点で合理的です。他方で、格安かつ短期で再発行可能なトークンはボットやブローカーの大量取得リスクを生みます。発行レート制御、端末帰属（デバイス固有性）、行動分析の適用が前提になります。
• 「Pak ID」アプリ経由のリモート認証は、国家IDを“デジタル・アイデンティティ・プロバイダ”に進化させます。これは公的サービスだけでなく民間（金融・通信・交通）のeKYCの骨格にも波及し得ます。エコシステム化が進むほど、SDKサプライチェーン、API利用規約の逸脱、連携先のログ不備といった“周辺の弱い輪”が狙われます。
• パフォーマンス（FAR/FRR、1:1/1:Nの設定）、公正性（属性バイアス）、プライバシー（テンプレート保護・保存期間・利用目的限定）を同時に満たすことが肝です。評価の土台として、顔はNIST FRVTのような第三者評価結果を参照し、実環境での再現テストと監査を継続すべきです。FRVTのプログラム概要は公表されています（一般情報の参照として）:
  • NIST FRVT プログラム概要です。

脅威シナリオと影響

以下は仮説に基づく脅威シナリオの整理です。MITRE ATT&CKのタクティクスに沿って、国家IDのマルチモーダル化で立ち上がる攻撃面を俯瞰します。

• プレゼンテーション攻撃（Defense Evasion, Credential Access）

  • 顔: 高精細プリント、動画リプレイ、3Dマスク、スタイルトランスファー等でのなりすまし。PADの強度や閾値設定が鍵です。
  • 非接触指紋: 写真からの復元、3D造形、ジェル等による複製。光学条件やキャプチャ手順の逸脱が弱点になりやすいです。
  • 関連するATT&CK観点: 認証プロセス改変・回避、センサー/ライブラリのハードニング不足の悪用（例: Modify Authentication Process）です。

• モバイルアプリ経由のバイパス（Initial Access, Credential Access, Defense Evasion）

  • Pak IDアプリや連携SDKの逆コンパイル、フック、ルート化端末上でのデバッグ無効化回避により、PADやデバイスバインディングを無効化します。
  • 盗まれたセッショントークンや短期「顔証明書」の再利用・転売。
  • モバイルATT&CKの観点では、アプリ改変、入力/画面オーバーレイ、証明書ピンニング回避、動的計装などが該当します。

• APIとバックエンドの不正利用（Credential Access, Discovery, Exfiltration, Impact）

  • 認証APIのレート制限不備や誤ったリトライ戦略を突く試行錯誤攻撃、スコア閾値の“当たり付け”。
  • 連携事業者アカウント（Valid Accounts）の乗っ取りによる正規チャネルからの大規模クエリ。
  • NADRAや連携ベンダーの環境侵害による生体テンプレート・識別子の大量流出（Exfiltration）。
  • 参考: MITRE ATT&CK（Enterprise/ Mobileの全体像）https://attack.mitre.org/です。

• サプライチェーンと配布経路（Initial Access, Persistence）

  • 正規アプリやSDK更新の乗っ取り、ミラーサイトや非公式ストアでのトロイ化配布。
  • CI/CD・署名鍵・更新サーバの防御が弱点になりやすいです。

• モーフィング・合成メディアによる「身元融合」攻撃（Defense Evasion, Collection）

  • 顔画像のモーフィングや合成により、複数人物にマッチし得る“曖昧テンプレート”を生成し、重複登録やブラックリスト回避を狙います。
  • 対策はモーフィング検知と、登録時の強固な発行審査の二段構えです。

• サービス妨害（Availability/Impact）

  • 大量の顔証明書発行要求や検証リクエストでのアプリケーションDDoS、botファームによる同時多発リクエスト。
  • 重要イベント（選挙・補助金）期に合わせた可用性妨害は社会的影響が大きいです。

影響の射程

• 短期: eKYC/オンライン行政手続の高速化と同時に、顔・非接触指紋の精度/閾値設定の“初期不良”が、誤拒否・誤受理のどちらかに振れやすいです。運用初期のチューニングと段階展開が肝です。
• 中期: 民間連携の拡大に伴い、API濫用・SDK改変・連携先のログ不備など“周辺の弱い輪”が主戦場になります。可観測性と契約上の監査権限が差を分けます。
• 長期: 生体テンプレートの保護が不十分なままエコシステムが拡張すると、単一事象が不可逆的・広域的被害に直結します（生体はパスワードのように「変更」できないため）。テンプレート保護（暗号化・キャンセラブル・分散保管）と使途制限の厳格化が不可欠です。

セキュリティ担当者のアクション

国家IDとの連携や自社のeKYCに波及する前提で、次のアクションを優先度高く検討します。

ガバナンスと契約

• PAD性能・誤受理率/誤拒否率・しきい値運用・第三者評価（例: 公的ベンチマーク結果の提示）を調達・契約要件に明記します。
• 生体テンプレート保護（暗号化、キャンセラブル生体、鍵管理、分散保管）、保存期間、目的外利用の禁止、削除証跡の監査可能性をDPA（データ処理契約）に織り込みます。
• 7日間の顔“証明書”の発行・失効・失効伝搬（OCSP/CRLに相当）・再発行レート制御を、API仕様レベルで合意します。

アーキテクチャと実装

• 多段のなりすまし対策（PAD複合、デバイスアテステーション、TEEs/SEs活用）と、環境テレメトリ（照度、動き、3D/2D判別）を組み合わせます。
• リスクベース認証を導入し、顔/非接触指紋の単独成功を即時受理しない“ステップアップ”設計（高額・高リスク取引は追加要素要求）にします。
• API乱用対策（レート/バースト制御、トークン境界、DPoP/MTLS、TTL厳格化、リプレイ検知）。発行済み顔証明書の継続的検証（発行元署名・失効・端末バインド）を必須化します。
• 監査と可観測性の標準化（リクエスト署名、時刻同期、相関ID、不可改ざんログ）を連携先まで拡張します。

運用・検知・対応

• SOCでのユースケース整備
  • 短期証明書の異常発行レート、端末指紋の使い回し、自治体/機関ごとの“成功率ドリフト”を検出します。
  • APIキー濫用、連携事業者アカウントの通常外時刻/地域からの大量認証を検知します。
• レッドチーム/パープルチームでの検証
  • プレゼンテーション攻撃、モーフィング、端末改変、証明書リプレイ、SDK改変、CI/CD侵害のシナリオを含めます。
• インシデント対応計画
  • 生体テンプレート関連の事象を“特別重大”として扱い、即時の失効・無効化、影響範囲の可視化、法令/契約報告を自動化します。長期的な再登録/再バインド手順も事前に準備します。

現場のKPI/KRIの例

• しきい値別の誤受理・誤拒否、PAD失敗率、顔→指紋のフォールバック比率の推移。
• 顔証明書の平均生存時間、再発行間隔、端末重複率、地域・時間帯の偏り。
• APIの95/99パーセンタイル遅延とスパイク検知、連携先ごとの失敗パターンの相関。

最後に 今回の動きは、実現可能性と信頼性が相応に高い一方で、短期から中期にかけての現場影響も現れやすいテーマです。制度が動く前に、落とし穴は実装と運用にあると割り切り、要件定義・監査・可観測性・レスポンスの4点セットを整えることが、結局は本人確認の信頼を底上げします。国家IDのマルチモーダル化は到来しました。次は、私たちの側の準備の番です。

参考情報

• Biometric Update: Contactless fingerprint, face biometrics added to Pakistan’s national IDV system（2026-01-03）: https://www.biometricupdate.com/202601/contactless-fingerprint-face-biometrics-added-to-pakistans-national-idv-system
• MITRE ATT&CK（Enterprise/Mobile マトリクス）: https://attack.mitre.org/
• NIST FRVT（顔認証ベンダーテスト・プログラム概要）: https://www.nist.gov/programs-projects/face-recognition-vendor-test-frvt