ソーシャルメディア
サイバー犯罪アンダーグラウンドでのディープフェイクによる認証回避と攻撃
ディープフェイクによる攻撃が増加する中、脅威状況が大きく変化しています。こうした高度な偽装手口は、ビジネスメール詐欺(BEC)や認証回避などの攻撃をさらにレベルアップさせています。
ディープフェイクによる攻撃が増加する中、脅威状況が大きく変化しています。こうした高度な偽装手口は、ビジネスメール詐欺(BEC)や認証回避などの攻撃をさらにレベルアップさせています。
2020年、欧州刑事警察機構(EUROPOL)および国連地域間犯罪司法研究所(UNICRI)との共同論文で人工知能の不正利用が解説され、サイバー犯罪者によるディープフェイク技術の悪用が予測されていました。この予測が現実化するのに時間はかかりませんでした。現在、すでにこれらの攻撃が確認されています。
ディープフェイクの攻撃が増加し、企業や組織、金融機関、著名人、政治家、一般の人々が影響を受ける脅威状況が大きく変化してきています。ディープフェイクが、ビジネスメール詐欺(BEC)や認証回避などの攻撃をさらなる次元へレベルアップさせるからです。
これらの攻撃が増加した背景には、以下のようないくつかの前提条件や理由が想定されます。
- 技術的な条件が整備されている。ディープフェイク生成のソースコードはインターネット上に公開されており、使おうと思えば誰でも利用できる状況となっている。
- インターネット上に公開されている画像などの量は、攻撃者がディープフェイク技術を使用して何百万もの偽の認証情報を作成するのに十分なレベルに達している。
- サイバー犯罪者グループは、このような技術をいち早く取り入れ、既存のマネーロンダリングやその他の金銭目的の手口の有効性を高める上でディープフェイク技術の利用方法を定期的に検討している。
- ディープフェイクは、ソーシャルエンジニアリングの手口において新しい攻撃シナリオに必要であり、重要な技術的実現手段との認識が定着している。
以下、この新しいトレンドが、近年どのように発展し、進化しているのかを検証してみます。
広告のディープフェイク詐欺で窃取された認証情報
最近、ニュースサイトやソーシャルメディアなどでは、有名人の画像などが怪しげな検索エンジン最適化(SEO)のキャンペーンに利用されているのをよく見かけます。こういった広告の内容は、選ばれた有名人やその専門性などに関心のあるユーザをおびき寄せ、画像の下にあるリンクをクリックさせるように特別に設計されています。
例えば図1は、ドイツのニュースサイト「N-TV」の広告の2022年9月13日付けの撮影したスクリーンショットです。広告には著名な人物が登場していますが、その人物は自分の画像が利用されていることに気づいていない可能性が高いことが分かります。この広告を選択すると、自動車広告のページが表示されます(図の右側)。さらに同様の広告を選択すると、別の広告ページ(図2)に誘導されます。
この種のメディアコンテンツは、悪質な広告集団によって長年にわたってさまざまな収益化の手口として利用されてきました。最近では、これらの広告に興味深い進展が見られ、そうした進展を可能にする上での技術的な変化も生じてきています。
こうした中、デジタルメディアやSEOでのマネタイズを企てるグループが、インターネット上で共有されたメディアコンテンツを使用し、著名人のディープフェイクを作成しています。彼らは、著名人やインフルエンサーなどの肖像を本人の同意なしに使用し、さまざまな広告キャンペーンのため、ディープフェイクコンテンツを配布しています。
図3は、そのような例の1つです。この場合、サイバーセキュリティ専門家Chris Sistrunk氏を起用した広告キャンペーンがMetaに掲載されていました。注目すべきは、同氏は、この広告キャンペーンで紹介された製品の推奨者でもなければ、広告のビデオにあった内容を発言したわけでもないという点です。
トレンドマイクロでも、正規の人気モバイルアプリ上で、イーロン・マスク氏のディープフェイクの静止画や動画を駆使した「金融投資」を宣伝する広告を確認しています。
ディープフェイクの次なる進化は「著名人になりすましビデオ通話ができるようになる」という手口の登場でしょう。
アンダーグラウンドのフォーラムでは、サービスとしてのディープフェイクの話題が盛んとなっています。これらの議論から、オンラインバンキングやデジタル金融の認証手順がターゲットになっていることがわかります。例えば、これらのサービスに関心を持つサイバー犯罪者がすでになりすまし対象の認証情報を取得している場合、関連アカウントのためのビデオストリームといったフェイク動画が必要となる可能性があります。こうして作成された偽装アカウントは、後にマネーロンダリングや不正金融取引などに利用される危険性があります。
アンダーグラウンドでのディープフェイク
認証ツールや技術を回避する手法は、サイバー犯罪アンダーグラウンドでは、目立った進化を遂げています。ユーザアカウントの認証サービスがすでに普及している中、本人確認に最新技術やオンラインチャットシステムを利用したeコマースが進化するにつれ、攻撃者側は対抗手段を進化させ、これらの認証手法を回避する新しい手口が開発されてきています。
2020年および2021年の初めには、すでに一部のアンダーグラウンドフォーラムで暗号資産運用や個人アカウントを狙う攻撃に必要な「ディープフェイクの専門家」を募る求人が確認されています。
ディープフェイクのコンテンツ作成用のツールなどは、以前からGitHubなどオンラインで公開されていました。サイバー犯罪アンダーグラウンドのフォーラムでも、同様にディープフェイク作成やディープフェイク検出のためのさまざまなツールが注目を集めています。
先日には、暗号資産取引所サイト「Binance」のコミュニケーション担当役員を装ったディープフェイクの人物像が公開されたというニュースが報じられました。この偽者は、Zoom会議で暗号資産プロジェクトの代表者たちを騙すために使用されました。
そうした中、図7のように、図6で示されたアンダーグラウンド上の議論と同様、ディープフェイクによってBinance氏の本人確認といった認証を回避する手口も議論されていました。今回報じられた攻撃者の場合、2021年以降からBinanceの対面認証を(ディープファイクによって)突破する手口を模索してきたようです。
関連ツールとしは、ディープフェイク動画の作成を簡単にするボットも登場しています。Telegramのボット「RoundDFbot」がそうしたツールに相当します。
このようなディープフェイク動画は、すでに公人にとって深刻な問題となっています。著名人、政府高官、有名企業の社長など、高解像度の画像や動画の多くがインターネット上に公開している人物は、最も狙われやすい対象といえるでしょう。彼らの顔や声を悪用したソーシャルエンジニアリング詐欺がすでに拡散されています。
ディープフェイクの技術や関連ツールが利用可能となった現在、音声や映像のフェイクコンテンツで標的を狙う攻撃や詐欺が今後さらに増えることが予想されます。
ディープフェイクが既存の攻撃手法に与える影響
ディープフェイクは、既存の攻撃活動に利用することは可能であり、このような攻撃の第一波を目にしています。既存の攻撃および近い将来に予想される利用手段は以下のとおりです。
メッセンジャー詐欺:支払い担当者になりすまして送金について電話をかける手口は何年も前から存在しています。今後は、ビデオ通話による巧妙な偽装に利用されるでしょう。例えば、誰かになりすまして友人や家族へ連絡し、送金依頼、電話料金などの残高変更といった依頼も可能となるでしょう。
BEC:この攻撃は、ディープフェイクがなくても、すでにかなりの成功を収めています。今後、ディープフェイクにより、通話中の偽装ビデオで経営者やビジネスパートナーになりすまして送金を要求することが可能となるでしょう。
アカウント作成:攻撃者は、ディープフェイクを使って本人確認を回避することで、窃取した個人情報を用いて本人になりすまして、銀行や金融機関、場合によっては 政府機関のサービスにまで口座を作ることができます。この場合、他者の認証情報を使用し、ビデオ通話を通じて行われることが多い検証プロセスを迂回することができます。こうして作成された口座は、後にマネーロンダリングやその他の悪質な行為に利用される可能性があります。
アカウントの乗っ取り:攻撃者は、ビデオ通話を利用して、本人確認が必要なアカウントを乗っ取ることができます。こうして金融機関の口座を乗っ取り、他人の貯金を引き出したり送金したりすることが可能となります。金融機関によっては、オンラインバンキングのアプリで特定の機能を有効にするため、オンラインでのビデオ認証を要求する場合があります。このような認証もディープフェイク攻撃のターゲットになり得るでしょう。
恐喝メール:ディープフェイクの動画を使用することで、攻撃者は、より強力な恐喝やその他の恐喝関連の攻撃を行うことができます。さらにはディープフェイク技術で作成された偽の証拠をでっち上げることも可能です。
偽情報キャンペーン:ディープフェイク動画は、より効果的な偽情報キャンペーンを生み出し、世論操作に利用される可能性があります。例えば、有価証券の価格を変動させるために虚偽の情報を流す「風説の流布」のような活動は、著名人からの偽装メッセージに依存しています。このような偽装メッセージは、ディープフェイク技術で巧妙に作成することができるようになりました。このため、こうした手口は、経済的、政治的、さまざまな風評被害に大きな影響を与えることになるでしょう。
テクニカルサポート詐欺:ディープフェイクで作成された偽の認証情報により、何も知らないユーザをソーシャルエンジニアリングで騙し、支払情報を共有させたり、IT資産にアクセスさせたりすることができます。
ソーシャルエンジニアリング攻撃:攻撃者は、さまざまな偽装を駆使して、なりすました人物の友人、家族、同僚を騙して操ることができます。こうした中、かつてKevin Mitnickの活動などで知られていたソーシャルエンジニアリング攻撃も、今後新たな展開を見せる可能性があります。
IoT(モノのインターネット)デバイスの乗っ取り:Amazon社のAlexaやその他多くのスマートフォンブランドから提供されている音声や顔認識のデバイスは、ディープフェイクを駆使する攻撃者の格好の標的となるでしょう。
結論およびセキュリティに関する推奨事項
すでに、ディープフェイクを利用した犯罪や攻撃活動の第一波は発生しているといえます。そして今後、以下のような問題を考慮すると、より深刻な攻撃が行われる可能性が高いと考えられます。
- ディープフェイクの作成に十分といえる数百万人分コンテンツがソーシャルメディア上に溢れ、あらゆる国、都市、村、コミュニティの人々の情報がソーシャルメディアを介して世界に露出している。
- ディープフェイクに必要な主要な技術はすべて揃っている。このため、攻撃に際して大きな投資も必要なく、国家や企業だけでなく、個人や小規模な犯罪集団でも攻撃が可能である。
- ディープフェイクにより、攻撃者は、政治家、企業経営者、有名人になりすまし、身分を盗むことができる。これにより、金融詐欺、短期間の情報操作、世論操作、恐喝など、特定の攻撃の成功率を大幅に高めることが可能となる。
- ディープフェイクにより、広く一般人の個人情報も公に露出したソーシャルメディアから盗まれて再現される。こうして、なりすまされた被害者は、窃盗やその他の不正活動の被害に見舞われることになる。
- ディープフェイクにより、存在しない人物の個人情報が大量に出現する可能性がある。これらの情報は、さまざまな詐欺で使用されます。実際、多くに個人情報が放置されているなど、その兆候はすでに確認されています。
ディープフェイクの攻撃に対処し、その影響を軽減するために、個人や法人組織はどのような対策を講じればよいでしょうか。トレンドマイクロでは、一般ユーザおよび生体認証を使用している企業や組織に対して、いくつかの推奨事項を提示しています。また、これらの認証方法のいくつかは、自動化による大規模展開も可能となります。
- 機密情報や重要アカウントの認証には、多要素認証方式を標準とする。
- 企業や組織は3つの基本要素でユーザを認証すること。「ユーザが所持しているもの」「ユーザが知っているもの」「ユーザ自身であるもの」。そしてこれらの基本要素の内実を適切に選定しておくこと。
- 金融機関でのKYC(know-your-customer)原則や実例を用いたセキュリティ教育を実施すること。ディープフェイクの技術も完璧ではないことから、こうした教育を通して、企業や組織の担当者がニセモノに気づく知見を養うことができます。
- ソーシャルメディア利用者は、高画質な個人画像の露出を最小限にすること。
- 機密性の高いアカウント(銀行や企業の個人情報など)の認証には、虹彩や指紋といった一般への露出が少ない生体情報を優先して使用すること。
- 大規模なセキュリティ面での対処には、大幅な政策変更も必要となる。例えば、現在および過去に公開された生体認証データの扱いに関する法整備など。また、サイバー犯罪者の現在の活動状況を考慮した上での将来的な政策提言も必要である。
ディープフェイクの技術およびそれを利用した攻撃がセキュリティに与える影響は、すでに現実のものとなっており、深刻な被害をもたらします。上述のとおり、こうした攻撃の被害は、企業や組織の経営陣だけでなく、ユーザ一般の個人にも及びます。ディープフェイクに必要なツールやサービスがすでに広く普及していることから、技術的に洗練されていない攻撃者やグループでも利用可能であり、このことは、今後多くの攻撃者によってディープフェイクによる不正活動が広く実行される可能性があることを意味します。
参考記事
How Underground Groups Use Stolen Identities and Deepfakes
By: Vladimir Kropotov, Fyodor Yarochkin, Craig Gibson, Stephen Hilt
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)