関連インシデント
AIの活用により、詐欺師はなりすまし対策や音声認証を回避できるようになり、偽造身分証明書や金融文書を驚くほど迅速に作成できるようになりました。生成技術の進化に伴い、その手口はますます巧妙になっています。消費者はどのように身を守るべきでしょうか?また、金融機関はどのように対策を講じることができるでしょうか?
1. ディープフェイクがなりすまし詐欺を助長する
AIは、史上最大のなりすまし詐欺を可能にしました。2024年、英国に拠点を置くエンジニアリングコンサルティング会社Arupは、ライブビデオ会議中に詐欺師がスタッフを騙して資金を送金させたことで約2,500万ドルの損失を被りました。詐欺師たちは、最高財務責任者(CFO)を含む実際の経営幹部のデジタルクローンを作成していました。
ディープフェイクは、生成アルゴリズムと識別アルゴリズムを用いてデジタル複製を作成し、その写実性を評価することで、人物の顔の特徴や声を本物らしく模倣することができます。AIを活用すれば、犯罪者はたった1分間の音声と1枚の写真だけで、たった1枚の顔写真を作成できます。これらの人工画像、音声クリップ、動画は、事前に録音したものでもライブ映像でも構わないため、どこにでも出現させることができます。
2. 生成モデルが偽の詐欺警告を送信
生成モデルは、数千もの偽の詐欺警告を同時に送信することができます。家電製品のウェブサイトにハッキングを行う人物を想像してみてください。大口注文が入ると��、AIが顧客に電話をかけ、銀行が取引を詐欺と判定したと伝えます。AIは、本人確認が必要だと告げ、口座番号とセキュリティの質問への回答を要求します。
緊急の電話と詐欺の兆候は、顧客に銀行情報や個人情報を渡してしまう可能性があります。 AIは膨大な量のデータを数秒で分析できるため、実際の事実を素早く参照し、より説得力のある判断を下すことができます。
3. AIによるパーソナライゼーションがアカウント乗っ取りを助長する
サイバー犯罪者はパスワードを何度も推測することで総当たり攻撃を仕掛けることもできますが、多くの場合、盗んだログイン認証情報を使用します。彼らは、本物のアカウント所有者によるアカウント削除を防ぐため、パスワード、バックアップメールアドレス、多要素認証番号をすぐに変更します。サイバーセキュリティ専門家は、こうした戦術の手口を理解しているため、防御策を講じることができます。AIは未知の変数を導入するため、防御策を弱めます。
パーソナライゼーションは、詐欺師にとって最も危険な武器です。彼らは、ブラックフライデーなど、取引が集中するトラフィックのピーク時に人々を狙い、詐欺の監視を困難にすることがよくあります。アルゴリズムは、人の日常生活、買い物習慣、メッセージの好みに基づいて送信時間を調整し、エンゲージメントを高めることができます。
高度な言語生成と高速処理により、大量のメール生成、ドメインスプーフィング、コンテンツのパーソナライゼーションが可能になります。たとえ悪意のある人物が10倍ものメッセージを送信したとしても、それぞれのメッセージは本物らしく、説得力があり、関連性が高いものになります。
4. 生成AIが偽ウェブサイト詐欺を刷新
生成技術は、ワイヤーフレームの設計からコンテンツの整理まで、あらゆることを可能にします。詐欺師は、わずかな金額を支払うだけで、偽のノーコードの投資、融資、または銀行ウェブサイトを数秒で作成・編集できます。
従来のフィッシングページとは異なり、生成技術はほぼリアルタイムで更新され、やり取りに応答します。例えば、誰かが記載された電話番号に電話をかけたり、ライブチャット機能を使用したりすると、ファイナンシャルアドバイザーや銀行員のように振る舞うようにトレーニングされたモデルにつながる可能性があります。
そのような事例の一つとして、詐欺師がExanteプラットフォームを複製したケースがあります。世界的なフィンテック企業であるExanteは、数十の市場で100万以上の金融商品へのアクセスをユーザーに提供しているため、被害者は合法的に投資していると考えていました。しかし、実際には、知らないうちにJPモルガン・チェースの口座に資金を入金していたのです。
Exanteのコンプライアンス責任者であるナタリア・タフト氏は、同社が「かなりの数の」同様の詐欺を発見しており、最初のケースが単発のケースではなかったことを示唆していると述べました。タフト氏は、詐欺師たちがウェブサイトのインターフェースを巧みに複製したと述べました。彼女は、AIツールがこれを作成したのは、おそらく「スピードゲーム」であり、�「閉鎖される前にできるだけ多くの被害者を攻撃しなければならない」ためだと述べました。
5.アルゴリズムが生体検知ツールを回避
生体検知は、リアルタイムの生体認証を用いて、カメラの前にいる人物が実在し、アカウント所有者のIDと一致するかどうかを判断します。理論的には、認証の回避はより困難になり、古い写真や動画の使用を防ぐことができます。しかし、AIを活用したディープフェイクの登場により、以前ほど効果的ではなくなりました。
サイバー犯罪者は、この技術を利用して実在の人物を模倣し、アカウント乗っ取りを加速させる可能性があります。あるいは、ツールを騙して偽の人物を認証させ、マネーミューリングを容易にする可能性もあります。
詐欺師は、これを行うためにモデルをトレーニングする必要はありません。事前トレーニング済みのバージョンを有料で購入できます。あるソフトウェアソリューションは、フィンテック企業が使用する最も有名な生体検知ツールのうち5つを、2,000ドルの1回限りの購入で回避できると主張しています。Telegramなどのプラットフォームでは、このようなツールの広告が溢れており、現代の銀行詐欺の容易さを物語っています。
6. AIアイデンティティが新規口座詐欺を可能にする
詐欺師は生成技術を利用して個人のアイデンティティを盗むことができます。ダークウェブでは、パスポートや運転免許証などの偽造政府発行文書を販売している場所が数多くあります。さらに、偽の自撮り写真や財務記録も提供されています。
合成アイデンティティとは、実際の情報と偽の情報を組��み合わせて作られた架空の人物です。例えば、社会保障番号は本物かもしれませんが、氏名と住所は偽物です。その結果、従来のツールでは検出が困難になっています。2021年の「アイデンティティと詐欺の傾向に関するレポート」によると、Equifaxが確認した誤検知の約33%は合成IDです。
潤沢な予算と高い野心を持つプロの詐欺師は、生成ツールを用いて新たなIDを作成します。彼らはペルソナを洗練させ、財務履歴と信用履歴を確立します。こうした正当な行為は顧客確認ソフトウェアを欺き、検出を逃れることを可能にします。最終的に、彼らは信用限度額を使い果たし、純利益を手に姿を消します。
このプロセスはより複雑ですが、受動的に行われます。詐欺手法を訓練された高度なアルゴリズムはリアルタイムで反応できます。彼らは人間のように、いつ商品を購入すべきか、クレジットカードの借金を返済すべきか、ローンを組むべきかを把握し、検出を逃れています。
AI詐欺から銀行が守るべきこと
消費者は複雑なパスワードを作成し、個人情報や口座情報を共有する際に注意を払うことで、自らを守ることができます。銀行は口座のセキュリティ確保と管理の責任を負っているため、AI関連の詐欺に対する防御策をさらに強化する必要があります。
1. 多要素認証ツールの導入
ディープフェイクによって生体認証のセキュリティが侵害されているため、銀行は多要素認証を導入する必要があります。たとえ詐欺師がログイン認証情報を盗み出したとしても、アクセスすることはできません。
金融機関は、顧客に対し、MFAコードを決して共有しないよう指導する必要があります。AIはサイバー犯罪者にとって強力なツールですが、安全なワンタイムパスコードを確実に回避することはできません。フィッシングは、AIが回避を試みる数少ない手段の一つです。
2.顧客確認(KYC)基準の改善
KYCは、銀行に対し顧客の身元、リスクプロファイル、および財務記録の確認を義務付ける金融サービス基準です。法的にグレーゾーンで事業を展開するサービスプロバイダーは、厳密にはKYCの対象ではありませんが(DeFiに影響を与える新しい規則は2027年まで発効しません)、これは業界全体のベストプラクティスです。
長年にわたる正当な取引履歴を慎重に蓄積した合成IDは説得力がありますが、エラーが発生しやすい傾向があります。例えば、単純なプロンプトエンジニアリングによって、生成モデルの本質を露呈させてしまう可能性があります。銀行はこれらの技術を戦略に統合する必要があります。
3.高度な行動分析を活用する
AIに対抗する際のベストプラクティスは、同じことを繰り返すことです。機械学習システムを活用した行動分析は、数万人の膨大なデータを同時に収集できます。マウスの動きからタイムスタンプ付きのアクセスログまで、あらゆる情報を追跡できます。突然の変化は、アカウント乗っ取りの兆候です。
高度なモデルは、十分な履歴データがあれば、個人の購買行動やクレジット行動を模倣できますが、スクロール速度、スワイプパターン、マウスの動きを模倣する方法を知らないた�め、銀行に微妙な優位性を与えてしまいます。
4. 包括的なリスク評価を実施する
銀行は、新規口座開設時にリスク評価を実施し、新規口座の不正利用を防ぎ、マネーミュールによる資金流出を防ぐ必要があります。まず、氏名、住所、社会保障番号の不一致を探すことから始めましょう。
合成IDは説得力がありますが、万能ではありません。公的記録やソーシャルメディアを徹底的に調査すれば、ごく最近になって登場したことが明らかになります。専門家は十分な時間があれば、これらのアカウントを削除し、マネーミューリングや金融詐欺を防ぐことができます。
認証待ちの一時的な保留や送金制限を設けることで、悪意のある人物が大量にアカウントを作成し、それを売却するのを防ぐことができます。実際のユーザーにとって操作が分かりにくくなることで、摩擦が生じる可能性はありますが、長期的には消費者が数千ドル、あるいは数万ドルもの損失を被ることになりかねません。
AI詐欺や不正行為から顧客を守る
AIは銀行やフィンテック企業にとって深刻な問題です。なぜなら、悪意のある人物は高度な詐欺を実行するために専門家である必要はなく、高度な技術力も必要としないからです。さらに、専用のモデルを構築する必要もありません。汎用版をジェイルブレイクするだけで済みます。これらのツールは非常に簡単に入手できるため、銀行は積極的かつ綿密な対策を講じる必要があります。