関連インシデント
インシデント 63430 Report
Alleged Deepfake CFO Scam Reportedly Costs Multinational Engineering Firm Arup $25 Million
インシデント 98315 Report
Scammers Reportedly Used AI Voice Clone and YouTube Footage to Impersonate WPP CEO in Unsuccessful Scam Attempt
インシデント 11003 Report
Reported Audio Deepfake Impersonating CEO Karim Toubba Targets LastPass Employee via WhatsApp
解説:近年、企業におけるディープフェイクインシデントが急増しており、53%の企業が遭遇したと報告しています。当初はXやInstagramといったプラットフォーム上の単なるデジタルエンターテイメントと認識されていたディープフェイクは、今では世界中の企業を標的とする深刻なセキュリティ脅威へと進化しています。
今日��、ディープフェイクは企業の財務運営だけでなく、企業エコシステムにおける業務の完全性と信頼を脅かしています。企業におけるディープフェイクの増加、それが職場環境に及ぼす影響、そしてこれらの脅威に対抗するための最新のサイバーセキュリティ戦略について考察します。
昨年だけでも、著名人や政治家がディープフェイクの標的となり、評判を貶めようとしました。例えば、テイラー・スウィフトがディープフェイク攻撃の被害に遭ったというニュースは、消費者の間でこの技術の脅威に対する懸念を高めました。しかし、詐欺師たちは今や著名人の経営幹部にも狙いを定めており、企業は経済的影響を被っています。
注目すべき例としては、多国籍企業が関与した2,560万ドルの詐欺が挙げられます。この詐欺では、ディープフェイクのビデオ会議を利用して従業員を騙し、不正な取引を実行させられました。 2024年5月にも、世界最大の広告会社WPPを狙った詐欺師による詐欺が同様の手口で逮捕されました。詐欺師たちは、偽のWhatsAppアカウント、音声複製、YouTube動画を用いてCEOのマーク・リード氏になりすまし、バーチャル会議をセッティングしようとしました。目的は、従業員を欺いて取引を承認させることでした。この事件では、詐欺師たちの試みは失敗に終わりました。しかし、この技術の脅威、特に高度化が進むにつれて、この深刻化する問題に新たな光が当てられています。
視覚的なディープフェイクに加え、詐欺師たちは急速に進化するディープフェイクの亜種である音声複製にも巧妙に手を伸ばしています。 2024年4月、[LastPass]は企業に対する音声複製の脅威を報告しました。この脅威は阻止されましたが、詐欺師がこの技術にどれほど自信を深めているか、そして規模の大小を問わずあらゆる企業がこれらの脅威の被害者になり得ることを浮き彫りにしています。
バーチャルチームへの文化的および業務的影響
リモートワークが主流の組織は、当然のことながらディープフェイク攻撃のリスクが高まります。リモートワークの従業員が上司から不審な電話や会議の依頼を受けた場合、その上司が本当に接続しようとしているかどうかを確認するために廊下を歩くことはできません。
こうした脅威は、バーチャルコラボレーションのダイナミクスを混乱させ、デジタルコミュニケーションにおける信頼を損ないます。ハイブリッドチームや完全リモートチームでは、こうした信頼の喪失により意思決定が停滞し、チームの結束が弱まる可能性があります。これらの攻撃が巧妙化するにつれ、安全で信頼できるデジタルワークスペースを維持することが極めて重要になっています。
AIでAIに対抗
社内のサイバーセキュリティリスクに対抗するには、技術戦略と教育戦略を統合した多層的なアプローチが必要です。
企業が検討すべき最も重要かつ効果的な戦略の一つは、AIでAIに対抗することです。生体認証、生体検知、継続的な本人確認システムなど、人間の監視では見落とされる可能性のある異常を��特定する高度なサイバーセキュリティツールがあります。これらの技術は、ユーザーのオンボーディングプロセスにおいて非常に重要です。なぜなら、偽アカウントを作成しようとする詐欺師を入り口で阻止できるからです。
生体認証や生体検知などの技術を活用することで、組織は完全なリモート環境であっても、対面での会議と同等の信頼性でユーザーを認証できます。認証プロセスにおいて、企業は高度な生体検知機能を備えた自撮り写真認証などの戦略を展開することで、個人の物理的な存在を確認し、本物のユーザーとディープフェイクを区別することができます。
攻撃者が巧妙化するにつれ、組織はカメラインジェクション攻撃(事前に録画されたメディアや合成メディアをカメラのストリームに直接送り込み、生体認証チェックを回避する攻撃)への対策も必要になります。これに対抗するため、生体認証システムは、映像の内容だけでなく、キャプチャ元自体の真正性も検証する必要があります。
企業は、年齢推定などの生体認証チェック機能を備えたシステムも導入し、ファイル内のデータとの不一致を特定する必要があります。組織が検討すべき追加のセキュリティ対策には、以下が含まれます。
- リスクシグナルの階層化:ユーザーエクスペリエンスを阻害することなくセキュリティを強化するために、受動的なリスクシグナルを統合することで、あらゆるリスクレベルをリアルタイムで評価できます。個人識別情報(PII)の検証、メールアドレスや電話番号のレピュテーション分析、デバイスの信頼性監視を通じて、企業は不正行為の試みに対する可視性を高めることができます。- 高リスク活動のための最新認証:企業は、金融業務などの高リスク活動に対して生体認証の導入を検討する必要があります。多要素認証はセキュリティ層を追加しますが、高度な生体認証などの生体認証は、ユーザーの生体認証データをリアルタイムで評価し、身分証明書などの政府発行の事前承認文書と照合することで、より高度な保護を提供します。
警戒を怠らない
最新のサイバーセキュリティツールを導入するとともに、組織は従業員にディープフェイクの戦術を認識し、対応するための教育を行うことが重要です。緊急性を示すものや文脈から外れた要求を含むものなど、疑わしいコミュニケーションを識別できるように従業員をトレーニングしてください。
企業のリーダーは、特に重要な取引については、一貫したコミュニケーションと承認プロセスを導入する必要があります。新たな脅威に対処するためにポリシーを定期的に更新し、従業員がリスク軽減のためのベストプラクティスを遵守できるようにする必要があります。
ディープフェイクの脅威が増大する中、企業はサイバーセキュリティフレームワークの中核として、高度な予防戦略を優先する必要があります。革新的なツール、協力的な取り組み、そして積極的なセキュリティ文化を組み合わせることで、企業はこの増大する懸念から自社と従業員を守ることができます。
ダリル・ハフ、Jumio社 生体認証担当バイスプレジデント
SC Media Perspectivesのコラムは、SC Mediaのサイバーセキュリティ専門家からなる信頼できるコミュニティによって執筆されています。それぞれの寄稿は、重要なサイバーセキュリティのトピックについて独自の視点を提供することを目指しています。コンテンツは最高品質、客観性、非営利性を追求しています。