サイバー脅威
CFO(最高財務責任者)になりすまして2500万米ドルを送金させたディープフェイク技術
ディープフェイク技術を用いた偽のビデオ会議にだまされた香港の金融関係者が詐欺グループに多額の送金を行いました。ディープフェイク技術の悪用に対抗するためには、技術的側面と心理的側面の両面において対策を講じる必要があります。
事件の概要
香港警察の2024年2月2日の発表によると、詐欺グループが香港のある多国籍企業のビデオ会議において、ディープフェイク技術を悪用して同社の最高財務責任者(CFO)になりすまし、2500万米ドル(約38億円)を送金させる事件が発生しました。
これは、一見現実世界の出来事ではなくSF映画の筋書きのようですが、実際に起きた事件です。進化が加速しているソーシャルエンジニアリングやAIを用いた攻撃に対処する「防衛側の能力」がいま試されています。
この斬新な攻撃の可能性は、まったく予想できなかったわけではありません。トレンドマイクロは、2023年11月に開催されたAWS re:Inventにおいて、本事件と類似した事例のビジネスインパクトについて解説を行っています。また、急速に進化しているディープフェイク技術に対応するために必要な「社内プロセスやポリシー」の準備、調整方法について、世界で活躍するビジネスリーダーに向けてアドバイスを行いました。
ディープフェイク技術を悪用した詐欺の増加
既存の戦術やテクニックとAI技術を組み合わせることで、より効果的にサイバー攻撃を実行することが可能となります。このような攻撃スタイルは、ディープフェイクに関連した技術やツールがオープンソースのソフトウェア(敵対的生成ネットワーク、GAN)やアバタービルダSaaSアプリケーションとして入手できるため、既に一般的な攻撃手法となりつつあります。
AIツール(HeyGen等)を使用することで、誰でも簡単にディープフェイクを作成することができます。対象者の実際の動画をAIモデルに学習させると、スクリプト化されたディープフェイク動画は数分で作成されます。また、作成された動画の質が高いため、「偽・誤情報」が長期間にわたりSNSを通じて拡散される恐れがあります。
香港における事件では、攻撃者はアドホックな会話でリアルタイムのビデオ通話を行うことは不可能であったと考えられます。これは、現在の一般的なツールが数個の文を含んだ動画を作成するのに、30分の処理時間を要することを原因とします。この事件で使用されたディープフェイク動画の開発と実行に関する調査は進行中ですが、攻撃者は通話中にリアルタイムで再生されるコンテンツクリップのセットを事前に作成していた可能性が高いと推測されます。
しかし、AIによるテキストから動画への変換技術の急速な進化に伴い、リアルタイムのビデオ通話も近く可能になるでしょう。
AIを悪用した攻撃の進化
AIの進化は、サイバー犯罪の三つの主要カテゴリーに影響を及ぼしています。これらは、「ソーシャルエンジニアリングと詐欺」、「ジェイルブレイク(制限の撤廃)されたGPTサービス」、そして「ハイジャックとモデルポイズニング」を指します。なお、最もAIが悪用されているカテゴリーは詐欺となります。
AIは、BEC(ビジネスメール詐欺)攻撃やフィッシング攻撃の有効性を着実に高めています。本事件では、ライブビデオ通話を介した資金移動の承認であったため、従業員は疑念を抱かずに送金手続きを進めてしまいました。組織や企業においては、早急に安全な資金移動プロセスを構築することが求められます。
セキュリティ対策の改善
このような攻撃から企業や組織を守るためには、技術的側面と心理的側面の両面において対策を検討する必要があります。具体的には、人、プロセス、技術を組み合わせた対策を指します。適切な対策を講じることにより、新たな脅威から金融取引、データ転送、契約などを保護することが可能となります。
プロセス、コラボレーション、セキュリティ意識の改革
詐欺事件の詳細については現在調査中ですが、本事件により組織や企業における「資金移動の認証プロセス(Verification Processes for Funds Transfers)」の精査や強化の必要性が明らかになりました。サイバーセキュリティおよびリスク担当者が考慮すべき事項については、以下をご参照ください。
- 明確に定義された認証プロセスが存在するか。また、これは資金移動要請者に左右されないプロセスであるか
- 強力な認証プロセスを採用しているか。潜在的な攻撃者に使用する通信チャンネルとは別の経路を用いたアウトオブバンド認証であるか。電子メールに記載された電話番号やビデオ通話の招待に潜む危険に注意を払っているか
- 信頼できる連絡先リストは存在するか
- 資金移動の認証に際して、あらかじめ定められた単語(合言葉認証)やプロセスが存在するか
- 最高経営責任者からの要請であっても、従業員に懸念を表明する権限が与えられているか。正式な指示(音声又はビデオ)であることを確認するための明確なプロセスが存在するか
サイバー保険を提供しているCoalition社の2023年中間サイバークレームレポートでは、資金移動関連の詐欺がランサムウェアの場合と比較して63%多いと記載されています。サイバー犯罪者が用いるさまざまな詐欺手法から組織や企業を守るために、セキュリティチームは財務部と協力することが不可欠です。
ベストプラクティスとAI主導のサイバーセキュリティ
セキュリティチームは、ソーシャルエンジニアリングやIDベースの攻撃へ対するアプローチを再考する必要があります。サイバー防衛上、ゼロトラストフレームワークの構築やAI主導のセキュリティの導入が極めて重要となります。
- ゼロトラストアライメント: アクセス制限を行います。そして、「Never Trust, Always Verify(決して信頼せず、常に検証せよ)」アプローチを採用します。これにより、リスクベースルールを用いて、機密情報やプロセスにアクセスできる者を各リスクに応じて限定することが可能となります。
- AI主導のセキュリティ:内部トラフィックの監視、ID脅威対策への投資、最新型電子メール防御ツールの導入(APIを使用した電子メールシステムへの統合、AI/MLやコンピュータビジョンを使用した文体、インテント、偽のログインページの特定等)は、増加するBEC攻撃やフィッシング攻撃に対抗するために不可欠です。通常、これらの攻撃は本格的な攻撃を仕掛ける前段階において使用されます。
参考記事
A Deepfake Scammed a Bank out of $25M — Now What?
By: Shannon Murphy
翻訳:新井 智士(Core Technology Marketing, Trend Micro™ Research)