AIのフェイクだけじゃない 攻撃者が経営幹部に接近する新ルートが見つかる
セキュリティの専門家によると、サイバー攻撃者はディープフェイクや音声クローンだけでなく、別のルートを使って企業の経営幹部やその家族を標的にしているという。
セキュリティ研究者をはじめとした専門家によると、企業の経営幹部はなりすまし型のサイバー攻撃の増加に直面している。さらに、経営幹部本人だけでなく、その家族が危害を受けるリスクが高まりつつある。攻撃者はどうやって経営幹部や家族に近づいているのか。
AIのフェイクだけじゃない
なりすまし攻撃の増加は、音声クローンやディープフェイクの進化と関連している。標的とした企業の経営幹部など信頼できる人物を装った偽のメッセージや動画を生成し、企業の関係者に送り付けるビジネスメール詐欺(BEC)はよく知られている。関係者の信頼を得て企業システムへの侵入に成功すると、特権アクセスを利用して従業員を欺いたり、機密情報を盗み出したりする。だが、それだけではなかった。
2024年12月、大手ヘルスケア企業UnitedHealth GroupのCEO、ブライアン・トンプソン氏が射殺された。この事件をきっかけに、企業の経営幹部やその家族の不安が高まっている。そんな中、経営幹部を狙ったなりすまし型の攻撃は増加する傾向にある。
経営幹部や富裕層向けにサイバーセキュリティのサービスを提供するBlackCloakが2025年4月に発表した調査結果によると、2023〜2025年にかけて、経営幹部を標的とした攻撃は43%から51%に増加した。同調査は、BlackCloakからの委託で調査会社Ponemon Instituteが実施したものだ(注1)。「2025年に自社の経営幹部がディープフェイク攻撃の標的にされた」と答えた回答者は全体の41%で、2023年の34%から増えている。この調査によると、信頼できる連絡先のなりすましは一般的な攻撃経路であり、攻撃者はセキュリティインシデントを装って、金品の支払いを要求したり機密情報の提供を求めたりする。
BlackCloakのクリス・ピアソン氏(創設者兼CEO)は『Cybersecurity Dive』の取材に対して次のように述べた。「AIが進化するにつれて、攻撃者は技術的な脆弱(ぜいじゃく)性を悪用する攻撃から、人間の感情に焦点を当てたソーシャルエンジニアリングに注力しつつある」
ピアソン氏によると、企業の経営幹部やその家族になりすました動画や音声ファイルを作成し、それらを使って金銭を盗んだり、標的とした人物に機密情報を開示させたり、企業を危険にさらす可能性のある行動を実行させたりする事例が増加する傾向にある。
テレワーク中を狙った攻撃も
経営幹部がテレワークに移行する動きにも攻撃者は反応している。経営幹部が企業の内部ネットワークにアクセスするための、自宅側のネットワークを標的にする攻撃者もいる。
ITコンサルティング企業AlphaMileのアンソニー・カーター氏(シニアアドバイザー)は、投資家や起業家向けプラットフォームDigital Evolution Instituteが2025年5月に開催したカンファレンスで次のように述べた(注2)。「資産家を保護するための情報活動の実態を見ると、本人やその家族、資産を守ることは決して容易ではなくなりつつある」
カーター氏によると、米国にいる550万人の富裕層のうち41%が、デジタルまたは物理的な犯罪の被害を経験したと報告している。
セキュリティベンダーFlashpointによると、トンプソン氏の殺害後、経営幹部へのサイバー攻撃は増加しているという。2025年4月には、約1000社の経営幹部に関する詳細な個人情報やビジネス情報が掲載された「Luigi was right」というWebサイトをFlashpointが発見した(注3)。同Webサイトの名称や内容は、トンプソン氏を殺害した容疑者にちなんでいるという報道もある。
Luigi was rightは2025年5月29日(現地時間)に取り下げられたが、同日、「CEO Database」という別のWebサイトが発見された。同Webサイトにも、経営幹部の電話番号やLinkedInのアカウント情報をはじめとしたさまざまな情報が掲載されていた。
FlashpointはCybersecurity Diveの取材に対して「米国で続く経営幹部に対する反発への支持や関心を集めるために攻撃者がWebサイトを作成した可能性がある」と語る。さらに、Webサイトに掲載されている豊富なデータを考慮すると、攻撃者は経営幹部に関するさらなる情報を手に入れる可能性もあるという。
同社はさらに、「これらのWebサイトには個人の連絡先情報が存在する可能性が高い」と指摘する。攻撃者は、Webサイトで提供された情報を使用して、「アグリゲーションサイト」で追加の検索を実施し、個人を特定できる情報(PII)にアクセスする可能性があるという。アグリゲーションサイトとはインターネット検索や、特定のデータを集約し掲載しているWebサイトのことだ。Cybersecurity Diveの取材に答えた担当者は、業務に関連する安全上の懸念から、身元を明かさないよう求めた。
出典:Corporate executives face mounting digital threats as AI drives impersonation(Cybersecurity Dive)
注1:Digital Executive Protection Research Report 2025(BlackCloak)
注2:The Future of Technology-savvy Boards(Digital Evolution Institute)
注3:The CEO Database Exposes Information on Over 1,000 Executives(Flashpoint)
© Industry Dive. All rights reserved.
関連記事
Salesforceから社内ネットワークへ侵入、被害が急増する音声フィッシング攻撃とは
フィッシング攻撃はヒトの心理を突く攻撃で、防ぐことが難しい。現在、Salesforceのユーザーを狙ったボイスフィッシング攻撃が続いており、警戒が必要だ。
日本人1人当たり年間約2000円のサイバー詐欺 解決に向けた動きとは
SNSを利用した詐欺に対抗するにはどうしたらよいだろうか。デジタルサービスの作り込みの甘さや犯罪報告の難しさ、被害者が感じる恥ずかしさといった点が課題になりそうだ。「詐欺対策カンファレンスJapan 2025」の内容を紹介する。
セキュリティ企業が顧客情報を盗み出された? 攻撃者の主張に困惑する理由
セキュリティ企業Check Point Software Technologiesの顧客情報を犯罪者がダークWebで売りに出した。同社はハッカーの主張にどのように反論したのだろうか。