[No.63]リモートワークではフィッシング詐欺に注意!!会社の同僚はAIが生成したディープフェイク、社員になりすました犯罪者が企業のITシステムを攻撃

今週、アメリカ連邦捜査局(FBI)は通達を出し、リモートワークでディープフェイクを使ったフィッシング詐欺が発生しているとして、企業や団体に注意を喚起した(下の写真)。

犯罪者は、ディープフェイクで他人になりすまし、人事面接を受ける。採用された犯罪者は、企業のシステムにアクセスして、機密データを盗み出す。

FBIは、ディープフェイクが犯罪で悪用される危険性を警告してきたが、実際にサイバー攻撃が始まった。

出典: Federal Bureau of Investigation

リアルな仮想人物

この通達は、FBIのインターネット犯罪捜査部門「Internet Crime Complaint Center (IC3)」から発行された。
犯罪者は、個人情報(Personally Identifiable Information)を盗み、その人物になりすまし、サイバー攻撃を実行する。

盗み出した個人情報とディープフェイクを組み合わせ、リアルな仮想人物であるアバターを生成し、この媒体を使って犯行に及ぶ。

アバターで人事面接

攻撃の対象はリモートワークを導入している企業で、犯罪者は盗み出した個人情報とディープフェイクでアバターを生成し、他人になりすまし人事面接を受ける。(下の写真、ビデオ会議のイメージ)。

ビデオ会議による人事面接で、アバターが面接官と対話する形式で会議が進む。犯罪者は、情報技術、プログラミング、データベース、ソフトウェアなど、IT部門への就職を希望する。

出典: Microsoft 

採用後のプロセス

IT部門に採用された犯罪者は、企業システムにアクセスすることができ、ここで機密データを盗み出す手口となる。
FBIは、犯罪者は顧客の個人情報、企業の経理データ、企業のデータベース、企業の機密データなどにアクセスすると警告している。

フィッシングメールからアバターに進化

盗用した個人情報でフィッシング詐欺を実行するケースが増え、これが企業のセキュリティで最大の課題となっている。

現在は、社員や関係者になりすました犯罪者が、電子メールを使って企業の機密情報を盗み出す手口で、これは「Business Email Compromise」として警戒されている。

FBIは、この手法に加え、ディープフェイクを使ったフィッシング攻撃が始まり、新たな警戒が必要であるとしている。

ディープフェイクは完全ではない

FBIの通達は、今のディープフェイクは完成度が低く、偽物を見分けるための特徴があると指摘している。
その最大のポイントは音声とディープフェイクの動きで、声と唇の動きが同機していないと指摘する。

また、咳やくしゃみなど、音声を発生するアクションの表現が未熟であるとも指摘する。

リモートワークを採用している企業は要注意

今のディープフェイクは未完の技術であり、詐欺を見破る手掛かりがある。

しかし、AIの技術進化は急で、完璧なディープフェイクが登場するまでに、時間の猶予は無い。(下の写真、既に人間と見分けのつかないアバターがコールセンターなどで使われている)。

人間の目で見分けることは不可能となり、フィルタリングなど、ディープフェイクを見抜く技術の開発が必要になる。特に、リモートワークを採用している企業は狙われやすく、人事面接では応募者を認証するプロセスを強化することが必須となる。

出典: Soul Machines 

メタバースのセキュリティ

FBIの通達は、メタバースにおけるセキュリティ技術の開発が必要であることを示唆している。メタバースは3D仮想社会で、ここで自分の分身であるアバターを通じて、コミュニケーションを取る。

企業はこの仮想空間に設立され、社員はアバターとなり、仕事を遂行する。仮想空間では、簡単に他人になりすますことができ、フィッシング詐欺など犯罪行為が懸念される。

メタバースでは、利用者の認証技術など、3D空間を対象とするセキュリティ技術の開発が必須となる。