ディープフェイクを使ったさまざまな動画が公開されるに従い、この技術がただエンターテイメントとして使われるだけではないことが明らかになってきました。1つの例としては、2019年の英国総選挙中に作成された、当時の首相であるBoris Johnson氏とその対立候補の動画です。両者が互いに相手を支持する様子がディープフェイク動画として作成・公開された結果、今後このようなものが選挙時の印象操作として有益な手段になり得ると危惧されました。
ディープフェイクは、意図的に誤った情報を提供しようとする者にとって最適なツールとなりつつあります。それは、企業犯罪を実施する犯罪者の視点からも同様といえます。
例えば、企業犯罪者がディープフェイク音声を利用して企業経営者の声を模倣し、従業員に偽の銀行口座に送金するよう指示するといった犯罪が起きています。The Wall Street Journal(WSJ)の報道によると、英国に拠点を置くエネルギー企業の最高経営責任者(CEO)が上司にあたる親会社のCEOから電話を受け、ハンガリーのサプライヤーに22万ユーロを至急送金するよう指示されたといいます。入金後、その指示は人工知能(AI)による音声技術を利用したなりすましで、ドイツにいる親会社のCEOの声を模倣したものだったことが発覚しました。
さらに、ディープフェイク技術の中で最も脅威として注意が必要なのは、文章への応用です。犯罪者は、企業経営者の文体や言い回しを模倣したフィッシングメールを送付することで、従業員にメール内の不正なリンクをクリックさせたり、重要情報の共有を促したりすることも可能です。そして何よりも大きな脅威は、生成型AI(生成AI)の一般化が加速することによって、犯罪者がこのような技術により容易にアクセスできるようになることです。
これまでディープフェイクの制作には、相当な計算能力が必要でした。しかし生成AIの一般化により、十分な計算能力がなくても、比較的短時間で完成度の高いディープフェイクを生成できるようになりました。「ChatGPT」のような生成AIモデルは、大規模な話し言葉のデータセットを用いて訓練し、模倣対象となる人物の言葉と高度に一致する新しい合成スクリプトを生成するよう学習させることが可能です。そのクオリティーは進化し続けており、犯罪者を含む多くの人がその技術の恩恵を受けることができます。これにより企業犯罪者は、より高度なビジネスメール詐欺(Business E-mail Compromise:BEC)が可能になります。
ビジネスメール詐欺は、例えば、あたかも取引先や上司などであるかのように装い巧妙に作成した偽のメールを組織・企業に送付し、従業員を騙して送金手続きを行わせる詐欺の手口です。メールアカウントへのアクセスと従業員を信用させるに足る文章があれば、攻撃者は容易に多額のお金を手に入れることが可能です。文章のディープフェイクは、ビジネスメール詐欺の成功率を高める重要な技術の一つになり得るのです。
BlackBerryの最新版「Global Threat Intelligence Report」は、重要インフラに対するサイバー攻撃が今後も続き、AIは攻撃の自動化だけでなく、高度なディープフェイク攻撃の開発にもますます活用されていくと予測しています。
ディープフェイクから組織を守るためには
あらゆる種類のサイバー脅威と同様に、人、技術、プロセスを包括する総合的な防御戦略が必要です。組織は、何百、何千ものアラート、画像、動画、その他のデータの集合を手作業で選別・検査していては、ディープフェイクベースの攻撃に対処することはできません。しかし、AIや機械学習を利用することで、組織はディープフェイクを生成と同様の手法で自動検出できるようになります。
AIや機械学習は、組織やユーザーの「正常な」行動を調査し、組織内のユーザーの誰とも一致しない異常な行動を検出したり、特定のユーザーと特定のエンドポイントやネットワークの行動が関連する確率を予測したりするのに役立ちます。これは、フィッシングやその他のソーシャルエンジニアリング攻撃に対する重要な被害緩和策であり、これによりセキュリティを増強できます。
ディープフェイク攻撃に対するCIOの役割とは
サイバーリスクとの戦いに終わりはなく、その変化のスピードは加速しています。最高情報責任者(CIO)は、ディープフェイク攻撃から組織を守るために、組織特有のリスクと脆弱(ぜいじゃく)性に対処する包括的な戦略を策定し、実施する重要な役割を担っています。
とはいえ、肩書きや所属する組織に関係なく、今日のサイバー脅威環境や手法に対処するには、効果的なサイバー防衛戦略や戦術を実施できる人材が必要です。CIOは、人事、法務、コミュニケーションチームなど組織内の他のステークホルダーと協力し、各組織の脅威モデルに特化した全体的かつ包括的な計画の一環として、ディープフェイクに対処できるようにする必要があります。つまり、テクノロジーだけでなく、人と行動に焦点を当てることが必要です。
ソーシャルエンジニアリングは依然として、サイバーセキュリティのリスクとして最も注目されています。これらの攻撃では、人間の特定の属性や心理を利用し、技術的なセキュリティ対策を回避して悪意ある行為が行われます。好奇心、興奮、恐怖、優しさ、認知バイアス、暗黙の信頼など、人間に共通する脆弱性を突いてくるディープフェイク攻撃も考えられるのです。
リスクを軽減するためにはテクノジーだけではなく、従業員への教育が重要です。社内のガイドラインを策定し、各従業員に伝え、ディープフェイクの危険性について理解を促し、リスクへの対処法についてのトレーニングやワークショップを実施しましょう。そうした活動がギャップの解消に貢献し、より積極的なディープフェイクの検出と被害防止につながるでしょう。
また、風評被害の3分の2以上は24時間以内に広がると言われており、企業は風評リスクを管理するため迅速に対応することが重要です。企業はダメージを軽減するために、あらかじめプロセスやコミュニケーションルールを定義しておく必要があります。この点からも、従業員への適切な教育は、偽情報の拡散を最小限に抑え、攻撃による風評被害を軽減する役割を果たします。
- 池田 企(いけだ・たくみ)
- BlackBerry Japan Cybersecurity事業本部セールスエンジニアリング部 シニアマネージャー
- BlackBerry Japan株式会社のセールスエンジニアリング部シニアマネージャー。日本のセールスエンジニアリングチームの責任者としてハイタッチ及びパートナーSEを統括。2018年にCylance Japanにプリセールスとして入社し、主にハイタッチSEを担当後、2022年に現職。20年以上に渡り、国内外の企業にて、インターネット、データセンター、ストレージなどシステム全般における提案、設計、構築、運用に従事。エンタープライズ企業への大規模システム提案及びサポートを多数経験。