サイバーリスク：ディープフェイクにますます騙される？

コロナ禍で増加した手口

先ごろFBIが公表した注意喚起によると、具体的な数字は明かされていないもののコロナ禍に伴うリモートワークの増加によって、ウェブ会議の場が犯罪者に悪用されてしまうといったことが増加しているそうだ。^*1

ビジネスメール詐欺師がウェブ会議のための仮想会議プラットフォームを用いて、不正な送金指示を従業員に出しているというFBIへの報告が増えている。ビジネスメール詐欺とは取引先等を装って巧妙に作り込まれた偽請求書によって、犯罪者の指定する口座に送金させ、被害企業から金銭を詐取する手口である。

ここで一つ疑問が湧くのではないだろうか？

使い慣れた ”あの” ウェブ会議で、しかもカメラをオンにすれば相手の姿を確認することもできるのに、いかにしてウェブ会議を悪用しているのだろうかと。
注意喚起ではその具体的な手口にも触れているため、ここで紹介したい。

なぜ騙されてしまうのか？

犯罪者がまず狙う標的にはいくつかのパターンがある。ここではCEOやCFOなど雇用主または財務責任者のメールが狙われる場合について見ていこう。前述の注意喚起に記載されているシナリオの一つである。

この場合、メールの侵害に成功すると犯罪者はCEOやCFOになりすまして、従業員に偽物のウェブ会議を呼びかける。そして、従業員がこのウェブ会議に出席すると、そこには本物のように見えるCEOやCFOが出席しているが、映像もしくは音声の不具合を理由に、ウェブ会議に付いているチャット機能やメールを用いてコミュニケーションを取るよう勧めてくる。そこで、不正な送金が指示されるわけだ。

一見すると不審にも思えるこのような手口で、なぜ騙されてしまうのだろうか？

実はこの背景に、近年の人工知能（AI）や機械学習（ML）といった技術の目覚しい発展が影響している。既にどこかでお聞きになられたキーワードかもしれないが、「ディープフェイク」と呼ばれる手法である。もちろん、ここではAIやMLといった技術を否定する意図ではないということを申し添えておく。

ディープフェイクとは複数の画像データをMLを用いて合成することで人工的に作り上げられた合成コンテンツのことで、この本人にそっくりな画像を用いてウェブ会議に出席することでCEOやCFOになりすましてしまうのだ。

まるでスパイ映画のワンシーンのような話であり、全く何のことやら分からないという方もおられることだと思う。試しに検索サイトや動画共有サイトなどで、「ディープフェイク　オバマ大統領」や「fake obama」といったキーワードで検索してみていただきたい。そこにはオバマ元大統領がホワイトハウスでインタビューに応じている映像があるが、これはディープフェイクによって人工的に作られた偽の画像なのだ。つまり、犯罪者は人工的に作った画像と音声合成技術を用いることで、なりすました誰かに自分の言わせたいことを発言させることができる。そして、2019年以降、このような合成コンテンツを用いた手口が見られるようになったことがFBIによって昨年3月に発行されたレポートからも明らかになっている。^*2

非常に大きな影響が及ぶことも

それでは、どのようにしてディープフェイクを作成されてしまうのだろうか。

それはウェブ上にある画像や動画、ソーシャルメディアで共有したコンテンツやプロフィール画像を用いられることが多い。特に、CEOやCFOなどであればメディアへの取材対応や積極的なソーシャルメディアでの情報発信をされていることもあるため、ディープフェイクに用いる元画像には事欠かないだろう。

このようにディープフェイクなどの合成コンテンツを用いることでビジネスメール詐欺（BEC）を進化させた手口のことを、ビジネス・アイデンティティ侵害（BIC）とも呼ぶ。この新たな手口によって、被害企業や組織は経済面からもレピュテーションの面からも、非常に大きな影響が及ぶことが懸念されている。ちなみに、前述したFBIのレポートによると、合成コンテンツを作成すること自体は、憲法修正第1条の下で保護された言論とみなされているそうだ。

では、偽物のCEOやCFOに気付くことはできるのだろうか？

実は、ディープフェイクにも不自然な箇所がある場合がある。画像や映像の歪み、ゆがみ、不一致といった視覚的な違和感によって、 気付けるきっかけとなることもある。また、顔が動いたにも関わらず画像での目の間隔や配置が常に同じだったり、頭部や胴体の不自然な動き、顔や唇の動き、音声とのズレといったことなどから気付くきっかけとなることもある。

早い段階で気付くために

最後に、このような状況そのものを避けるために、冒頭で紹介したFBIによる注意喚起にて提案されている注意すべきポイントについていくつか紹介したい。

• 通常、内部の環境では使用されていない、外部の仮想会議プラットフォームが使用されていないか確認する。
• 二要素認証などを用いることで、アカウント情報の変更要求を確認する。
• メールに記載されているURLが、メール送信者のビジネスや個人に関連したものであるか確認する。
• スペルミスを含めドメイン名に注意する。
• ログインのためのIDやパスワードなどの情報や個人データをメールで提供することは控える。そして、多くの場合、個人データを要求する多くのメールが、合法なものであるように見えるかもしれないことに注意する。
• 特にモバイル端末などでメールを閲覧している場合、表示されている送信者のアドレスと実際の送信元が異なっていても一致しているように見えることがある。実際に送信に使用されたメールアドレスを確認する。

（一部、意訳）

AIやMLの進化によって、ディープフェイクを見抜くことも日々困難になっているが、これらのポイントからより早い段階で異変に気付けると良いだろう。利便性の向上は私たちだけでなく、悪意ある者にとっても恩恵をもたらしている。

出典

¹ https://www.ic3.gov/Media/Y2022/PSA220216

² https://www.ic3.gov/Media/News/2021/210310-2.pdf