イメージ:写真AC

 

上司や取引先などを装って金銭を詐取するビジネルメール詐欺(BEC)という手口。コロナ禍でその手口はさらに進化していた。それは私たちが日々業務で用いる「あるもの」と最新の技術を組み合わせることで。今回はその手口を追いかけてみたい。

コロナ禍で増加した手口

先ごろFBIが公表した注意喚起によると、具体的な数字は明かされていないもののコロナ禍に伴うリモートワークの増加によって、ウェブ会議の場が犯罪者に悪用されてしまうといったことが増加しているそうだ。*1

ビジネスメール詐欺師がウェブ会議のための仮想会議プラットフォームを用いて、不正な送金指示を従業員に出しているというFBIへの報告が増えている。ビジネスメール詐欺とは取引先等を装って巧妙に作り込まれた偽請求書によって、犯罪者の指定する口座に送金させ、被害企業から金銭を詐取する手口である。

ここで一つ疑問が湧くのではないだろうか?

使い慣れた ”あの” ウェブ会議で、しかもカメラをオンにすれば相手の姿を確認することもできるのに、いかにしてウェブ会議を悪用しているのだろうかと。
注意喚起ではその具体的な手口にも触れているため、ここで紹介したい。

なぜ騙されてしまうのか?

犯罪者がまず狙う標的にはいくつかのパターンがある。ここではCEOやCFOなど雇用主または財務責任者のメールが狙われる場合について見ていこう。前述の注意喚起に記載されているシナリオの一つである。

この場合、メールの侵害に成功すると犯罪者はCEOやCFOになりすまして、従業員に偽物のウェブ会議を呼びかける。そして、従業員がこのウェブ会議に出席すると、そこには本物のように見えるCEOやCFOが出席しているが、映像もしくは音声の不具合を理由に、ウェブ会議に付いているチャット機能やメールを用いてコミュニケーションを取るよう勧めてくる。そこで、不正な送金が指示されるわけだ。

一見すると不審にも思えるこのような手口で、なぜ騙されてしまうのだろうか?

実はこの背景に、近年の人工知能(AI)や機械学習(ML)といった技術の目覚しい発展が影響している。既にどこかでお聞きになられたキーワードかもしれないが、「ディープフェイク」と呼ばれる手法である。もちろん、ここではAIやMLといった技術を否定する意図ではないということを申し添えておく。

ディープフェイクとは複数の画像データをMLを用いて合成することで人工的に作り上げられた合成コンテンツのことで、この本人にそっくりな画像を用いてウェブ会議に出席することでCEOやCFOになりすましてしまうのだ。

まるでスパイ映画のワンシーンのような話であり、全く何のことやら分からないという方もおられることだと思う。試しに検索サイトや動画共有サイトなどで、「ディープフェイク オバマ大統領」や「fake obama」といったキーワードで検索してみていただきたい。そこにはオバマ元大統領がホワイトハウスでインタビューに応じている映像があるが、これはディープフェイクによって人工的に作られた偽の画像なのだ。つまり、犯罪者は人工的に作った画像と音声合成技術を用いることで、なりすました誰かに自分の言わせたいことを発言させることができる。そして、2019年以降、このような合成コンテンツを用いた手口が見られるようになったことがFBIによって昨年3月に発行されたレポートからも明らかになっている。*2

非常に大きな影響が及ぶことも

それでは、どのようにしてディープフェイクを作成されてしまうのだろうか。

それはウェブ上にある画像や動画、ソーシャルメディアで共有したコンテンツやプロフィール画像を用いられることが多い。特に、CEOやCFOなどであればメディアへの取材対応や積極的なソーシャルメディアでの情報発信をされていることもあるため、ディープフェイクに用いる元画像には事欠かないだろう。

このようにディープフェイクなどの合成コンテンツを用いることでビジネスメール詐欺(BEC)を進化させた手口のことを、ビジネス・アイデンティティ侵害(BIC)とも呼ぶ。この新たな手口によって、被害企業や組織は経済面からもレピュテーションの面からも、非常に大きな影響が及ぶことが懸念されている。ちなみに、前述したFBIのレポートによると、合成コンテンツを作成すること自体は、憲法修正第1条の下で保護された言論とみなされているそうだ。