AIによるサイバー攻撃に備える–ディープフェイク使った高度なビジネスメール詐欺が脅威に

今回は「AIによるサイバー攻撃に備える–ディープフェイク使った高度なビジネスメール詐欺が脅威に」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ディープフェイクを使ったさまざまな動画が公開されるに従い、この技術がただエンターテイメントとして使われるだけではないことが明らかになってきました。1つの例としては、2019年の英国総選挙中に作成された、当時の首相であるBoris Johnson氏とその対立候補の動画です。両者が互いに相手を支持する様子がディープフェイク動画として作成・公開された結果、今後このようなものが選挙時の印象操作として有益な手段になり得ると危惧されました。

 ディープフェイクは、意図的に誤った情報を提供しようとする者にとって最適なツールとなりつつあります。それは、企業犯罪を実施する犯罪者の視点からも同様といえます。

 例えば、企業犯罪者がディープフェイク音声を利用して企業経営者の声を模倣し、従業員に偽の銀行口座に送金するよう指示するといった犯罪が起きています。The Wall Street Journal(WSJ)の報道によると、英国に拠点を置くエネルギー企業の最高経営責任者(CEO)が上司にあたる親会社のCEOから電話を受け、ハンガリーのサプライヤーに22万ユーロを至急送金するよう指示されたといいます。入金後、その指示は人工知能(AI)による音声技術を利用したなりすましで、ドイツにいる親会社のCEOの声を模倣したものだったことが発覚しました。

 さらに、ディープフェイク技術の中で最も脅威として注意が必要なのは、文章への応用です。犯罪者は、企業経営者の文体や言い回しを模倣したフィッシングメールを送付することで、従業員にメール内の不正なリンクをクリックさせたり、重要情報の共有を促したりすることも可能です。そして何よりも大きな脅威は、生成型AI(生成AI)の一般化が加速することによって、犯罪者がこのような技術により容易にアクセスできるようになることです。

 これまでディープフェイクの制作には、相当な計算能力が必要でした。しかし生成AIの一般化により、十分な計算能力がなくても、比較的短時間で完成度の高いディープフェイクを生成できるようになりました。「ChatGPT」のような生成AIモデルは、大規模な話し言葉のデータセットを用いて訓練し、模倣対象となる人物の言葉と高度に一致する新しい合成スクリプトを生成するよう学習させることが可能です。そのクオリティーは進化し続けており、犯罪者を含む多くの人がその技術の恩恵を受けることができます。これにより企業犯罪者は、より高度なビジネスメール詐欺(Business E-mail Compromise:BEC)が可能になります。

 ビジネスメール詐欺は、例えば、あたかも取引先や上司などであるかのように装い巧妙に作成した偽のメールを組織・企業に送付し、従業員を騙して送金手続きを行わせる詐欺の手口です。メールアカウントへのアクセスと従業員を信用させるに足る文章があれば、攻撃者は容易に多額のお金を手に入れることが可能です。文章のディープフェイクは、ビジネスメール詐欺の成功率を高める重要な技術の一つになり得るのです。

 BlackBerryの最新版「Global Threat Intelligence Report」は、重要インフラに対するサイバー攻撃が今後も続き、AIは攻撃の自動化だけでなく、高度なディープフェイク攻撃の開発にもますます活用されていくと予測しています。

 あらゆる種類のサイバー脅威と同様に、人、技術、プロセスを包括する総合的な防御戦略が必要です。組織は、何百、何千ものアラート、画像、動画、その他のデータの集合を手作業で選別・検査していては、ディープフェイクベースの攻撃に対処することはできません。しかし、AIや機械学習を利用することで、組織はディープフェイクを生成と同様の手法で自動検出できるようになります。

 AIや機械学習は、組織やユーザーの「正常な」行動を調査し、組織内のユーザーの誰とも一致しない異常な行動を検出したり、特定のユーザーと特定のエンドポイントやネットワークの行動が関連する確率を予測したりするのに役立ちます。これは、フィッシングやその他のソーシャルエンジニアリング攻撃に対する重要な被害緩和策であり、これによりセキュリティを増強できます。

 サイバーリスクとの戦いに終わりはなく、その変化のスピードは加速しています。最高情報責任者(CIO)は、ディープフェイク攻撃から組織を守るために、組織特有のリスクと脆弱(ぜいじゃく)性に対処する包括的な戦略を策定し、実施する重要な役割を担っています。

 とはいえ、肩書きや所属する組織に関係なく、今日のサイバー脅威環境や手法に対処するには、効果的なサイバー防衛戦略や戦術を実施できる人材が必要です。CIOは、人事、法務、コミュニケーションチームなど組織内の他のステークホルダーと協力し、各組織の脅威モデルに特化した全体的かつ包括的な計画の一環として、ディープフェイクに対処できるようにする必要があります。つまり、テクノロジーだけでなく、人と行動に焦点を当てることが必要です。

 ソーシャルエンジニアリングは依然として、サイバーセキュリティのリスクとして最も注目されています。これらの攻撃では、人間の特定の属性や心理を利用し、技術的なセキュリティ対策を回避して悪意ある行為が行われます。好奇心、興奮、恐怖、優しさ、認知バイアス、暗黙の信頼など、人間に共通する脆弱性を突いてくるディープフェイク攻撃も考えられるのです。

 リスクを軽減するためにはテクノジーだけではなく、従業員への教育が重要です。社内のガイドラインを策定し、各従業員に伝え、ディープフェイクの危険性について理解を促し、リスクへの対処法についてのトレーニングやワークショップを実施しましょう。そうした活動がギャップの解消に貢献し、より積極的なディープフェイクの検出と被害防止につながるでしょう。

 また、風評被害の3分の2以上は24時間以内に広がると言われており、企業は風評リスクを管理するため迅速に対応することが重要です。企業はダメージを軽減するために、あらかじめプロセスやコミュニケーションルールを定義しておく必要があります。この点からも、従業員への適切な教育は、偽情報の拡散を最小限に抑え、攻撃による風評被害を軽減する役割を果たします。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
テスラが「レストランサービス」用途として新たに商標を出願、食事をしながらEVを充電
モビリティ
2021-06-03 17:03
腕時計型の「たまごっちスマート」11月発売 懐かしいキャラ収録の25周年モデルも
くらテク
2021-06-18 15:29
AWS、機械学習で量産品の不良を見分ける「Amazon Lookout for Vision」の本サービス提供開始
クラウドユーザー
2021-02-27 17:29
企業の未来のために考えるべき、「もう一歩先のクラウド」という視点
IT関連
2021-08-06 01:37
NEC、「Express5800」サーバーに「高可用性」カテゴリーを追加–3機種投入
IT関連
2024-06-20 02:19
国内製造大手の現場で採用広がるクラウドやAI–マイクロソフト顧客の事例
IT関連
2022-03-17 15:13
ロシアのハッカーグループ、不正アクセスに「OneDrive」を悪用–MSが警告
IT関連
2022-08-20 12:11
Red HatがクローンOSベンダを非難、「付加価値もなくコードをリビルドするだけなら、それはオープンソースに対する脅威だ」と
Linux
2023-06-28 18:24
auじぶん銀行、住宅ローンを同性パートナーと申し込み可能に
企業・業界動向
2021-04-20 09:07
第3回:IT部門がDX新組織で主役になれていないケース
IT関連
2022-06-09 06:17
オープンソース開発者が悪に走る時–意図的なライブラリー改ざん騒動から考える
IT関連
2022-01-26 12:06
Stack Overflowの新CTOに聞く、今後のクラウド移行戦略
IT関連
2022-08-09 00:11
農林中金、全社的な汎用ワークフローのプラットフォームに「ServiceNow」を活用
IT関連
2023-12-12 03:59
レノボ、IoTやAI処理向けのエッジ端末2機種を発表
IT関連
2021-07-06 07:02