2020年のサイバーセキュリティの脅威動向は、いったいどのような様相を見せるのだろうか。セキュリティベンダー各社が毎回さまざまな流行を予想しているが、2020年の予測で目立つのが「ディープフェイク」だ。
ディープフェイクは、AI(人工知能)技術の1つとなる「ディープラーニング(深層学習)」と「フェイク(偽物)」を組み合わせた造語とされる。現実の映像や音声、画像の一部を加工して偽の情報を組み込み、あたかも本物のように見せかけて相手をだます方法であり、そこにディープラーニング技術が悪用されている。
例えば、有名人が演説を行ったりインタビューに答えたりしている映像があったとしよう。その人物の身振り手振りや表情、口元の動き、声といった部分を解析し、実際とは異なる内容をあたかも本物のように重ね合わせる。このような細工は昔から存在したが、ディープラーニング技術の進化によって、一見しただけでは偽物と見抜くのが難しいほど精度の高いものを作れるようになった。
多くのセキュリティベンダーが「ディープフェイク」の流行を予想する根拠の1つは、2020年に米国で行われる大統領選挙だ。2016年の選挙では、政治家などの動画像を細工した偽物をインターネット上に拡散させて騒動をあおる「フェイクニュース」が問題になり、デジタルの“偽物”が世間をだます有効な手法だと認識されるに至ったからだ。
ESETは、「2016年の米国大統領選挙で情報やデータの操作をめぐる抗議から『フェイクニュース』という用語が広まった。2020年の大統領選挙でも再び論争を巻き起こすことは間違いない」と予想する。FireEyeは、「投票日までの数カ月間は攻撃活動の急増が見込まれる。攻撃者はソーシャルメディアや類似のプラットフォームを標的にし、有権者を誘導するために偽の情報を拡散する可能性が高いだろう」としている。
基本は「人の心理」を突くだまし技
ディープフェイクは、テクノロジーの進化によって出現した新しい攻撃手法のように見えるが、基本的には、人間の心理や行動の隙を突く「ソーシャルエンジニアリング」に含まれる脅威だ。
Splunkのセキュリティ担当グローバルヘッドを務めるKeith Kops氏は、「ITセキュリティの弱点は、完全には排除できない内部不正、つまり『人』になる。従業員はフィッシングメールをクリックしたり、親切にも見知らぬ他人のためにドアを開けてあげたり、ノートPCのロックを解除したままトイレに立ったりすることで、無意識に脅威を内部に招いている」と解説する。
ソーシャルエンジニアリングを用いる犯罪は古くから存在し、ITが身近になった現代でも十分に通用するので、その脅威が衰える様子は見えない。Splunkは、米CNET シニアプロデューサーのDan Patterson氏の解説を引用して、「標的をだますために、特定のシステムやデータベース、ゼロデイエクスプロイトなど、コンピューターを悪用する攻撃で使う技術的知識は不要」と指摘する。
つまりディープフェイクは、コンピューターシステム自体の弱点ではなく、人間の隙を突く攻撃手法になる。コンピューターシステムのセキュリティを技術で堅牢にしてセキュリティレベルを高めれば防御できる類いの脅威ではない。
Splunkでは、(1)ソーシャルエンジニアリングが増加している、(2)企業では平凡なフィッシング攻撃を回避するための徹底した従業員教育ができているとはいえない、(3)ディープフェイク技術が進化して今日では音声を偽装でき、ライブ動画も改ざんできるかもしれない――と現状を分析している。
