先週、米連邦裁判所に提出された訴状によると、詐欺師グループは偽造メールとディープフェイク音声を使い、アラブ首長国連邦(UAE)企業の従業員に対し、取締役が別の組織の買収の一環として資金を要求したと信じ込ませ、3,500万ドルを詐取した。
この攻撃は支店長を標的とし、取締役と米国在住の弁護士を装ったメールが送信された。メールには、この弁護士が買収のコーディネーターとして指定されていた。この攻撃は、ニューラルネットワークと呼ばれる機械学習アルゴリズムを用いて作成された合成音声を使い、標的の従業員が知っている人物の声を模倣する最新の攻撃である。
そのため、ディープフェイク音声と合成音声は、今後サイバー犯罪者の手口に用いられる可能性が高い。ネットワークセキュリティ企業Cato Networksのセキュリティ戦略担当シニアディレクター、エタイ・マオール氏は、誰でも動画と音声の両方でディープフェイクを作成できるオープンソースツールが数多く存在すると述べている。
「金儲けが目的なら、攻撃者は必ず新しい手法を取り入れるでしょう」とマオール氏は言う。「そのようなツールを使うのはそれほど高度なことではありません。音声となると、さらに簡単です。」
この企業窃盗は、ディープフェイク技術を使った2番目の既知の攻撃だ。2019年、ドイツ企業の英国子会社のマネージャーが、以前面識のあるドイツ在住のCEOを装った人物から電話を受けた。偽CEOの依頼で、彼は22万ユーロを偽のベンダーに送金した。マネージャーが疑念を抱いたのは、2日後に同じ人物がCEOを装って再び電話をかけ、さらに10万ユーロを要求してきた時だった。そして、電話番号がドイツではなくオーストリアのものだということに気づいた。
マオール氏は、これらの攻撃の成功の鍵は信頼にあると述べている。知り合いからの電話と、ナイジェリアの王子を名乗るメールは違います。従業員が、CEOだと信じて話している相手の方が、送金する可能性は高いでしょう。
ほとんどの企業にとっての解決策は、「決して信じず、常に検証する」という考え方に立ち返る必要があると彼は言います。
「ゼロトラストの原則のいくつかを、この人間関係の世界に取り入れる必要があるでしょう」と彼は言います。「技術的な解決策である必要はありません。検証プロセスだけで十分なのかもしれま��せん。」
米国司法省の提出書類には、アラブ首長国連邦の捜査に関する詳細はほとんど記載されていません。米国在住の弁護士が買収の監督に任命されたとされており、アラブ首長国連邦の捜査では、米国のセンテニアル銀行の口座に入金された合計41万5000ドルの送金が2件追跡されました。
「2020年1月、少なくとも17人の既知および未知の被告が関与する複雑な計画により、被害企業から他国の複数の銀行口座に資金が送金された」コロンビア特別区連邦地方裁判所への要請書に記載。「UAE当局は多数の口座を通じて資金の動きを追跡し、米国への2件の取引を特定した。」
要請書は、裁判所に対し、米国における捜査の連絡窓口として司法省の弁護士を指定するよう求めた。
生成的敵対的ニューラルネットワーク(GAN)を用いてリアルな偽の音声や動画を作成する技術は、ディープフェイクが政治キャンペーンに大混乱をもたらすのではないか、あるいは犯罪者がディープニューラルネットワーク技術によって実際の証拠が作成されたと主張するのではないかという懸念を煽っていますが、これまでのところ、ほとんどの事例は、偽の有名人ポルノやリベンジポルノの地下市場を除けば、概念実証に過ぎません。
しかし、技術的な要件はディープフェイクを作成したい人にとってもはやハードルではありません。Maor氏は、説得力のある合成音声を作成するには5分未満のサンプリング音声が必要だと見積もっていますが、必要な生の��音声は2~3時間のサンプルだとする見積もりもあります。低品質の合成なら、はるかに短時間で済みます。多くの経営幹部にとって、攻撃者は必要な音声をインターネットから入手することができます。
ディープフェイクを悪用したビジネスプロセスの侵害を阻止するために、企業は特別な技術を必要としません。代わりに、会計プロセスに検証手順を追加する必要があるとマオール氏は言います。
「適切なプロセスを導入していれば、こうした問題を排除できます」と彼は言います。「結局のところ、依頼内容を確認するための簡単な電話で済ませるだけで、このような事態を防ぐことができたはずです。」