パスワード管理大手のLastPassは、社員がディープフェイク詐欺の標的となった後、セキュリティ侵害の可能性を間一髪で回避しました。LastPassのブログ記事で詳細が説明されているこの事件では、CEOのカリム・トゥバ氏になりすました音声ディープフェイクが、WhatsApp経由で社員に連絡を取ろうとしました。
音声や動画を操作してリアルな偽物を作成できるディープフェイク技術は、サイバー犯罪者が精巧なソーシャルエンジニアリングの手法でますます悪用しています。今回のケースでは、詐欺師は音声改変プログラムを使用してトゥバ氏の声を偽装し、社員に緊迫感や信頼感を与えようとしたと考えられます。
しかし、誰もがLastPassのように幸運なわけではありません�。 2024年2月、多国籍企業の香港支社の従業員が、AI生成のCFOをディープフェイク技術で偽装し、2億香港ドル(約2,560万米ドル)を騙し取られました。
2022年8月に報告された、別の事件では、詐欺師がBinanceの最高コミュニケーション責任者であるパトリック・ヒルマン氏のAI生成ディープフェイクホログラムを偽装し、ユーザーを騙してオンライン会議に参加させ、Binanceの顧客の暗号資産プロジェクトを標的にしていました。
LastPassに関しては、同社は従業員が状況の危険信号を察知した警戒心を称賛しました。社内の公式なコミュニケーション手段としては一般的ではないWhatsAppの異例の使用と、なりすまし行為が重なったことから、従業員はLastPassのセキュリティ部門に報告しました。同社は、この攻撃がセキュリティ体制全体に影響を与えなかったことを確認しました。
Darktraceのグローバル脅威分析責任者であるToby Lewisは、この問題について、生成AIのリスクを強調して次のようにコメントしました。「今日のAIの普及は、新たなリスクを伴います。しかし、おそらくより重大なリスクは、生成AIを用いてディープフェイクの音声、画像、動画を作成し、大規模に公開することで、有権者の思考を操作し、影響を与えることができることです。」
「ディープフェイク生成にAIが利用されることは今や非常に現実的ですが、画像やメディアの操作のリスクは新しいものではなく、「Photoshop」は1990年代から動詞として存在しています。」とTobyは説明しました。 「現在の課題は、AIを活用することで参入障壁を下げ、生産をスピードアップして高品質な製品を生み出すことができることです。AIディープフェイクへの防御は、特にオンラインで目にする情報やソーシャルメディアで拡散される情報に対して、常に冷静な見方を維持することが重要です」と氏は助言した。
しかしながら、この詐欺未遂事件は、サイバー犯罪者が攻撃においていかに巧妙化しているかを示している。一方、LastPassは、このような攻撃を軽減するために、従業員の意識向上トレーニングの重要性を強調した。ソーシャルエンジニアリングの手口は、多くの場合、緊急感やパニックを煽り、被害者に性急な決断を迫るものだ。
この事件は、ディープフェイクが企業分野にもたらす潜在的な危険性も浮き彫りにしている。技術が進化し、ますます説得力のある偽造品が作られるにつれ、企業はこうした巧妙な詐欺に対抗するために、強力なセキュリティプロトコルと従業員研修への投資を迫られるでしょう。
企業を狙ったディープフェイク詐欺はまだ比較的まれですが、LastPassの事件は、脅威の増大を浮き彫りにしています。この試みを公表したLastPassの決定は、他の組織にとって貴重な教訓となり、意識を高め、予防策を実施するよう促しています。