「ハッキングされる」というのは映画の世界では派手なイメージがある。でも現実はもっと地味だ。ボットが流出したパスワードリストを使って、あなたのアカウントに自動的にログイン試行を繰り返す。気づいたときにはもうアクセスを失っている。警告もドラマもない。

この記事では、そういった自動化された攻撃からボットによる攻撃を防ぐための実践的な方法を整理する。ツールの話だけじゃなく、考え方から変えていく内容にしたい。

ボットがアカウントを狙うとき、何が起きているのか

基本：パスワードとMFAの話

これは、オンライン上のユーザーが実在する人間であることを、安全かつプライバシーを保ちながら証明する仕組みです。
従来の本人確認のように1つのサービスに閉じた認証ではなく、複数のプラットフォームで再利用できる汎用的な人間認証として設計されています。

日本でも、個人情報保護への意識が高まる中で、こうしたプライバシー重視のデジタルID技術への関心が高まっています。
特にWeb3や分散型アプリケーション分野では、個人情報を公開せずに本人性を証明する仕組みが重要視されています。

また、World ID のようなシステムは、個人情報を明かさずに「実在するユニークな人間」であることを証明するための基盤を構築しています。

ユニバーサル・プルーフ・オブ・ヒューマンとは？

ユニバーサル・プルーフ・オブ・ヒューマンとは、
オンラインユーザーが「実在する唯一の人間」であることを証明するデジタル認証方式です。

メール認証やSMS認証と違い、複数アカウント作成やボットによる回避が難しく、
より高い信頼性を持つ本人性証明として期待されています。

この仕組みは主に以下の技術によって支えられています。

• 分散型人間認証（Decentralized Proof of Human）

• Self-Sovereign Identity（SSI）

• Decentralized Identifiers（DIDs）

日本国内でも、分散型IDやSSIを活用したデジタル認証の研究・実証が進められています。

ユニバーサル・プルーフ・オブ・ヒューマンの仕組み

1. デジタルIDの作成

ユーザーはまず、DID（分散型識別子） を生成します。

これは暗号鍵ペアによって構成されるデジタルIDで、
中央管理者ではなく、ユーザー自身が管理します。

多くの場合、このIDはブロックチェーンまたは分散型台帳上で管理されます。

2. 人間であることの確認

次に、そのIDが「実在する人間」に紐づいていることを検証します。

使用される方法には以下があります。

• ゼロ知識証明（ZKP）

• 生体情報のハッシュ化

• コミュニティによる認証（Social Attestation）

日本でもブロックチェーンを活用したeKYCやデジタル本人確認の実証が進んでいます。
例として、Keychain GKによるブロックチェーンベースの本人確認実証があります。

3. 認証情報の発行

検証が完了すると、
ユーザーには暗号学的な認証情報が発行されます。

これは以下のように呼ばれます。

• Proof of Humanity

• Proof of Personhood

この認証情報を使えば、
毎回KYCを行わなくても複数サービスで本人性を証明可能になります。

Proof of Humanity と Proof of Personhood の違い

この2つは似ていますが、意味は異なります。

Proof of Humanity

「そのユーザーが実在する人間である」ことを証明

Proof of Personhood

「その人間が唯一無二であり、重複していない」ことを証明

この違いは非常に重要です。

例えばDAO投票やトークン配布では、
同じ人が複数アカウントを作れないことが公平性に直結します。

ブロックチェーンと分散型人間認証

ブロックチェーンは、
人間認証の信頼基盤として非常に相性が良い技術です。

理由は以下です。

• 改ざん耐性が高い

• 中央管理者が不要

• 誰でも検証可能

• 認証履歴を透明化できる

これにより、複数の検証者による分散型人間認証が可能になります。

日本のWeb3コミュニティやブロックチェーン開発者の間でも、
こうしたモデルへの関心は高まっています。

Self-Sovereign Identity（SSI）がプライバシーを守る理由

SSIとは、
ユーザー自身が自分のID情報を管理する仕組みです。

従来のように企業や政府が個人データを一元管理するのではなく、
必要な情報だけをユーザーが選んで提示できます。

例えば：

• 「20歳以上」であることだけ証明

• 生年月日そのものは非公開

• 「日本在住」であることだけ証明

• 住所は非公開

日本のように個人情報保護意識が高い市場では、
この仕組みは非常に相性が良いと考えられています。

KYCなしで本人確認は可能か？

従来のKYCでは、以下の提出が必要でした。

• 運転免許証

• マイナンバーカード

• パスポート

しかし、こうした方法は便利な一方で、
個人情報流出リスクを伴います。

ユニバーサル・プルーフ・オブ・ヒューマンでは、

「本人であること」だけを証明し、
身分証そのものは提出しない

という新しいモデルを実現できます。

DIDがもたらす相互運用性

DIDの大きな利点は、
1つの認証情報を複数サービスで利用できることです。

つまり、

• あるサービスで発行された認証情報を

• 別のプラットフォームでも利用可能

これにより、
ユーザーは毎回新たな本人確認を行う必要がなくなります。

プライバシー保護を支える主要技術

ゼロ知識証明（ZKP）

必要な事実だけを証明し、元データは公開しない

選択的開示（Selective Disclosure）

必要最低限の属性のみ共有する

オフチェーン検証

センシティブな処理をチェーン外で実行し漏洩リスクを軽減

これらは、
日本のデジタルID実証実験でも注目されている技術です。

日本での活用事例と関連動向

日本でも分散型IDや人間認証に関する取り組みが進んでいます。

• 大阪公立大学
  SSI・DIDを活用した分散型本人認証研究を実施

• JCBI（Japan Contents Blockchain Initiative）
  日本企業向けDID/SSI活用を研究

• 金融庁関連実証
  eKYCとVerifiable Credentialの実証事例あり

これらの動きは、
ユニバーサル・プルーフ・オブ・ヒューマンが
概念ではなく実用フェーズに入りつつあることを示しています。

今後の課題

もちろん、まだ課題もあります。

• 一般ユーザーには仕組みが複雑に感じられる

• 生体認証利用への倫理的懸念

• 業界標準化が未成熟

• プライバシーと利便性のバランス調整

日本の開発者・企業も、
こうした課題を解決しながら実装を進めています。

まとめ

ユニバーサル・プルーフ・オブ・ヒューマンは、
プライバシーを守りながら「実在する唯一の人間」であることを証明する新しい仕組みです。

これは単なる本人確認技術ではありません。

• 公平なDAO運営

• 安全なトークン配布

• ボット対策

• 信頼できるオンラインコミュニティ形成

など、次世代インターネットの基盤となる可能性があります。

プライバシーと真正性の両立が求められるこれからの時代、
この技術を理解しておくことは、開発者にとって大きな強みになるでしょう。

FAQ

ユニバーサル・プルーフ・オブ・ヒューマンとは何ですか？

オンラインユーザーが実在する唯一の人間であることを証明するデジタル認証技術です。

Proof of Humanity と Proof of Personhood の違いは？

Proof of Humanityは「実在する人間」であること、Proof of Personhoodは「唯一無二の人間」であることを証明します。

KYCなしで本人確認はできますか？

はい。暗号技術と分散型認証を使うことで、身分証提出なしの本人確認が可能になります。

SSIはどのようにプライバシーを守りますか？

ユーザー自身がデータを管理し、必要な情報だけを選択的に共有できるためです。