イメージ(Adobe Stock)

ディープフェイクによる詐欺

ディープフェイク*)は登場以来、目新しいフィルターや拡散するいたずら動画といったものから、深刻なビジネスリスクへと急速に変化してきた。2024年だけでも、ディープフェイクを悪用した詐欺によって(企業などの)組織は2億ドル以上の損害を被っており、攻撃者はメールの偽造、音声の複製、ライブビデオ会議の模倣などによって不正送金を誘発し、管理体制を侵害し、ステークホルダーの信頼を失墜させている。

*)注:「ディープフェイク(Deepfake)」とは、AI(人工知能)の技術を使って、実在する人物の顔、声、あるいは動作を別の映像や音声に精巧に合成する技術のこと。「ディープラーニング(深層学習)」と「フェイク(偽物)」を組み合わせた造語で、近年その精度が劇的に向上したことで大きな注目と警戒を集めている。

ディープフェイクのリスクは、攻撃の規模だけでなく、その巧妙さにも起因する。例えば、英国のエンジニアリング会社Arup社の社員は、CFOをはじめとする幹部との正当なビデオ会議を装った詐欺により、複数の香港銀行口座への総額約2500万ドルの送金を承認している。しかし、実際に登場した「幹部」はディープフェイクだったのだ。香港で発生した別の事案では、ある社員が偽の幹部とのビデオ通話に騙されて「要求」に応じ、約2億香港ドル(約2500万ドル:約37億円)相当の送金を15回行なった。

「合成されたインサイダー」と呼ぶものは、サイバー脅威の最新カテゴリーである。これは、AIによって作成された人物で、従業員・パートナー、または幹部に非常によく似ており、見た目・音声・動作が「正確」であるため、従来の認証システムをすり抜けてしまう。

前述のArup社の詐欺事件では、幹部と監査役のディープフェイクアバターを使ったビデオ会議というシナリオ全体に信憑性があったため、従業員は資金移動を承認してしまった。これはネットワークへの侵入ではなく、個人情報の漏洩が起因した。この事件をはじめとする最近の事例は、企業がファイアウォールやエンドポイント保護による境界防御のみに注力するのではなく、個人情報防御・行動検証・生体認証・クロスチャネル認証へと転換する必要があることを示している。法務部門やセキュリティ部門はもはや「内部の者」と見えるものが人間であると想定することはできないのだ。