ディープフェイク技術で CFO なりすまし 2,500 万米ドル送金さす

　トレンドマイクロ株式会社は3月8日、CFO（最高財務責任者）になりすまして2,500万米ドルを送金させたディープフェイク技術について発表した。

　香港警察は2024年2月2日に、香港のある多国籍企業のビデオ会議において、詐欺グループがディープフェイク技術を悪用して同社の最高財務責任者（CFO）になりすまし、2,500万米ドル（約38億円）を送金させる事件が発生したことを公表している。

　トレンドマイクロでは、既存の戦術やテクニックとAI技術の組み合わせで、より効果的なサイバー攻撃の実行が可能となり、ディープフェイクに関連した技術やツールがオープンソースのソフトウェア（敵対的生成ネットワーク、GAN）やアバタービルダSaaSアプリケーションとして入手できるため、既に一般的な攻撃手法となりつつあると指摘している。

　HeyGen等のAIツールの使用で簡単にディープフェイクを作成でき、対象者の実際の動画をAIモデルに学習させると、スクリプト化されたディープフェイク動画を数分で作成できる。さらに作成された動画の質が高いため、「偽・誤情報」が長期間にわたりSNSを通じて拡散される恐れがある。

　トレンドマイクロでは香港の事件について、現在の一般的なツールが数個の文を含んだ動画を作成するのには30分の処理時間を要するため、攻撃者はアドホックな会話でリアルタイムのビデオ通話を行うことは不可能で、通話中にリアルタイムで再生されるコンテンツクリップのセットを事前に作成していた可能性が高いと推測している。

　トレンドマイクロはAIの進化について、サイバー犯罪の三つの主要カテゴリー「ソーシャルエンジニアリングと詐欺」、「ジェイルブレイク（制限の撤廃）されたGPTサービス」、「ハイジャックとモデルポイズニング」に影響を及ぼし、特にAIが悪用されているカテゴリーは詐欺であるとしている。AIは、BEC（ビジネスメール詐欺）攻撃やフィッシング攻撃の有効性を着実に高めており、同事件ではライブビデオ通話を介した資金移動の承認であったため、従業員は疑念を抱かずに送金手続きを進めてしまったため、組織や企業は安全な資金移動プロセスの早急な構築が求めらるとしている。

　なお、サイバー保険を提供しているCoalition社の2023年中間サイバークレームレポートによると、資金移動関連の詐欺がランサムウェアの場合と比較して63％多いと記載されている。