40億円をだまし取るディープフェイク詐欺 3つの対策を知っていますか
経営陣や上司、取引先の偽動画を作り出して悪用するディープフェイク詐欺が拡大している。これに対抗する手段は3つあるという。何だろうか。
公開されている動画や静止画、音声を使って経営陣や取引先の偽動画や偽音声を作り出す技術がある。「ディープフェイク」だ。あまりにもリアルに作られているため、約40億円がだまし取られた事例もある。
ディープフェイク詐欺を防ぐ3つの対策とは
ディープフェイク詐欺を防ぐ技術的な方法が1つ、それ以外の対策も2つある。何だろうか。
金融ソフトウェアプロバイダーMediusの調査によると、米国と英国の企業の53%は「ディープフェイク」技術を使った金融詐欺のターゲットになったことがあり、43%は実際の被害に遭っている。
2024年8月に発表されたMediusの報告書によると(注1)、調査対象となった米国と英国の財務専門家1533人のうち85%は、これらの詐欺を組織の財務セキュリティの存続に関わる脅威と見なした。なお調査ではディープフェイクを、AI(人工知能)によって操作された画像や動画、音声としている。
Mediusのアーメッド・フッシ氏(チーフトランスフォーメーション・インフォメーションオフィサー)は次のように述べた。
「ますます多くの犯罪者が、ディープフェイク詐欺を企業から資金を得る効果的な方法と見なすようになっている。これらの詐欺はフィッシング技術とソーシャルエンジニアリング、AIの力を組み合わせたものだ」
AIだけでなく、フィッシング技術とソーシャルエンジニアリング技術が組み合わさっているというところに対策の糸口がある。
2027年までに6兆円の被害を予測
大手4大会計事務所のうちの一つDeloitteは2024年5月の報告書で、生成AIの台頭により、詐欺による損失が2027年までに米国で400億ドル(約6兆円)に到達する可能性があると指摘した(注2)。
報告書には、次のような記載がある。
「すでにダークWebには、20ドル(という少額)から数千ドルまで、詐欺ソフトウェアを販売する一連の小規模産業が立ち上がっている。このような悪質なソフトウェアが普及すると、現行の大半の詐欺対策ツールの効果がなくなっていく」
ディープフェイクの被害はすでに起きている。2024年5月に英国のエンジニアリンググループArupで起きた事件だ。同社のCFO(最高財務責任者)になりすました詐欺師がディープフェイク技術を用いて2500万ドル(約40億円)を不正に引き出したと報じられた(注3)。AIで生成された偽物のCFOや従業員によるビデオ会議の後、Arupのスタッフは香港の5つの銀行口座で複数の送金を実行した後、詐欺に気付いた。単なる一方的な指示ではなく、ビデオ会議をやり過ごすほどの効果があるということだ。
別の例として、「The Guardian」紙は2024年5月に「広告グループのWPPがディープフェイク詐欺のターゲットになったが未遂に終わった」と報じた(注4)。
フッシ氏は「YouTube動画やポッドキャストなどに登場するCEOやCFOのオンラインコンテンツは、詐欺師にとって説得力のあるディープフェイクを作成するための素材になる。経理担当者などをだまして企業の資金を引き出すなりすまし詐欺に利用される可能性がある」と述べた。ディープフェイク詐欺では、詐欺師が偽の緊急性を作り出し、警戒心のない従業員に迅速に行動するようプレッシャーをかけることもある。
フッシ氏によると、別のタイプのディープフェイク詐欺もあるという。この場合、攻撃者は企業と連携しているベンダーやサプライヤーになりすまそうとするようだ。
詐欺には「教育」「プロセス」「技術」の3つで対抗せよ
ディープフェイクがもたらす脅威の高まりを踏まえ、フッシ氏は企業に対し、3つの柱に基づいた防御策を講じるよう促した。
教育 フッシ氏は「組織の全員がディープフェイクとは何か、それをどう見分けるか、そして標的になった場合に取るべき手順は何かについて基本的な理解ができるようにしておくべきだ」と述べ、企業はこれに加えて経営幹部や管理職、高リスク部門の従業員への専門的なトレーニングも検討すべきだと付け加えた。
プロセス 詐欺師に誤って支払いをしてしまうリスクを最小限に抑えるために、電子送金において少なくとも2人の承認を必要とするなど、チェック体制を整える必要がある。また、ディープフェイク攻撃が成功してしまった場合の対応方法も準備しておくべきだろう。フッシ氏は「これらのプロセスを文書化し、特に財務スタッフに共有することが重要だ」と述べた。
技術 フッシ氏によると、AIや機械学習などのツールをマルチレベルの検証プロセスや職務分離と組み合わせることで、ふるまいを検知し、異常な取引を企業が検知するのに役立つという。
出典:Deepfake scams escalate, hitting 53% of businesses(CFO Dive)
注1:An Accounting of Financial Professionals(Medius)
注2:Generative AI is expected to magnify the risk of deepfakes and other fraud in banking(Deloitte)
注3:Scammers siphon $25M from engineering firm Arup via AI deepfake ‘CFO’(CFO Dive)
注4:CEO of world’s biggest ad firm targeted by deepfake scam(The Gurdian)
© Industry Dive. All rights reserved.
関連記事
生成AIの驚異的な進歩が生む、誰も信じられない世界
画像1枚と音声データだけから自然な動画を作り出す生成AI技術が続々と登場してきた。このような技術は新しいユーザーインタフェースとして有望だ。だが、攻撃に使われた場合のことも考えておかなければならない。
生成AIが作り出すディープフェイク、「本人確認ソリューション」の未来はどうなる
生成AIが作り出す画像はますますリアルになっている。この技術を使うと、本人が知らないところで本人の顔を使って顔認証を突破する攻撃が起こるだろう。
生成AIと従業員のやりとりを“見張る”「AIファイアウォール」って何?
生成AIの登場によって、企業が対策すべきリスクがさらに増えたといえるだろう。そんな中、生成AIの利用時にセキュリティやガバナンスを確保するための「AIファイアウォール」というものが、にわかにトレンドになっているらしい。生成AIと利用者とのやりとりを監視するというが、一体どのようなソリューションなのか。