ここ数年、サイバー脅威インテリジェンス コミュニティは、「ディープフェイク」技術の急速な普及と、企業や個人に対する詐欺師によるその潜在的な悪用を懸念してきました。「ディープフェイク」は、生成型人工知能を使用して既存のオーディオやビジュアル サンプルを活用し、作成者がディープフェイク ツールにプログラムして作成した対象の個人の発言や行動の新しくユニークな記録を作成します。ディープフェイクは政治的な誤情報や偽情報キャンペーンに関連付けられることがよくありますが、ディープフェイクの品質の向上と、それを作成するために使用される技術の入手しやすさの向上 (現在では、誰でも簡単にディープフェイクを作成できるサイトやアプリが数多く公開されています) の組み合わせは、民間部門にとっても長年の懸念事項でした。実際、2019年にはすでに、英国を拠点とする企業が音声ディープフェイクの被害に遭い、音声生成AIソフトウェアを使って企業のCEOになりすました詐欺師に従業員が騙されて送金させられたという事件が起きています。最近では、香港に拠点を置く多国籍企業の財務担当者が、ビデオ通話の参加者全員が(同社の最高財務責任者を装った人物も含め)ビデオディープフェイクだったため、詐欺師に2,500万ドルを送金させられてしまいました。
CEOになりすましの一環として、ディープフェイク音声を使用したWhatsAppでの連絡を試みた画面のスクリーンショット
民間企業を狙ったこのようなディープフェイク通話の報告は幸いにもまだ稀ですが、LastPass自身も本日早朝、ディープフェイクによる攻撃を受けました。この情報は、この手法が蔓延しており、すべての企業が警戒すべきであるという認識を高めるため、広くコミュニティと共有しています。LastPassのケースでは、ある従業員がWhatsApp経由でCEOになりすました脅威アクターから、ディープフェイク音声を使用した一連の通話、テキストメッセージ、そして少なくとも1件のボイスメールを受け取りました。試みられた通信は通常の業務通信チャネル外で行われ、従業員はソーシャルエンジニアリングの試みに特徴的な多くの要素(強制的な��緊急性など)の存在を疑っていたため、当然のことながらメッセージを無視し、社内セキュリティチームにインシデントを報告しました。これにより、脅威を軽減し、社内外でこの戦術に対する認識を高めるための措置を講じることができました。
明確に申し上げますと、当社への影響はありませんでした。しかし、ディープフェイクは高度な国家レベルの脅威アクターの領域にとどまらず、幹部のなりすまし詐欺キャンペーンにもますます悪用されていることへの認識を高めるために、このインシデントを共有したいと考えました。確立され承認された社内通信チャネルを通じて、会社員を名乗る個人による疑わしい可能性のある接触を確認することの重要性を印象付けることは、この試みから得られる重要な教訓です。このブログ投稿に加えて、私たちはすでに情報共有パートナーや他のサイバーセキュリティ企業と緊密に協力して、組織が詐欺師の一歩先を行くことができるよう、この戦術を認識させています。