関連インシデント
セキュリティ専門家によると、人工知能(AI)ソフトウェアを使ってマルコ・ルビオ国務長官になりすまし、国内外の外交官や政治家とやり取りしたという事例は、ディープフェイク技術の高度化と、それが国家安全保障に及ぼす脅威の増大を示している。
ワシントン・ポスト紙は昨日、米国高官と同紙が入手した国務省の機密文書を引用し、なりすまし犯がAI搭載ソフトウェアを使ってルビオ氏の声と文体を模倣した音声メッセージとテキストメッセージを送信したと報じた。報道によると、なりすまし犯は6月中旬に始まったこのキャンペーンで、標準的な携帯電話のテキストメッセージに加え、暗号化メ��ッセージアプリ「Signal」も使用していた。
なりすまし犯は、国務長官のメールアドレスではない「Marco.Rubio@state.gov」という表示名でSignalアカウントを作成し、外務大臣、米国知事、連邦議会議員に連絡を取り、情報やアカウントへのアクセスを狙っていた。報道によると、このキャンペーンでは、他の国務省職員もなりすまされていたという。
7月8日の記者会見で質問を受けた国務省報道官タミー・ブルース氏は、国務省はこの事件を認識しており「現在、事態を監視し、対応している」と述べたものの、「安全上の理由」からそれ以上の詳細には言及を避けた。攻撃の発信源は不明だが、ある専門家はロシアの敵対勢力が背後にいるのではないかという憶測もあると指摘した。
「国防総省は情報保護の責任を真剣に受け止めており、将来のインシデント防止のため、サイバーセキュリティ体制の強化に継続的に取り組んでいます」とブルース氏はブリーフィングで述べた。「私たちはテクノロジーの時代に生きており、その世界に深く関わっています。これ以上は言いません。」
米国政府はサイバーセキュリティ危機に瀕しているのか?
今回の事件は、米国政府関係者を標的としたディープフェイク攻撃としては少なくとも3件目となる。以前、攻撃者はウクライナ政府高官になりすましてベン・カーディン上院議員(メリーランド州民主党)にアクセスし、ディープフェイクのロボコールでジョー・バイデン前大統領になりすまして、彼を攻撃する政治キャンペーンを展開した。さらに、FBIは5月に、悪意のある攻撃者がAI生成の音声メッセージを使用して米国高官になりすまし、他の政府高官やその連絡先を標的にしていると警告した。
高度ななりすまし攻撃による脅威の増大を踏まえると、このような注目を集める事件が発生した場合、サイバーセキュリティはまさに連邦政府にとっての優先事項となるべきだと、ある専門家は述べています。AryakaのセキュリティエンジニアリングおよびAI戦略担当副社長であるアディティア・スード氏は、電子メールによる声明で、これらの事件は深刻なセキュリティ侵害を示しており、国民の信頼を損なうとともに、連邦政府が外部からの脅威から公式通信やインフラを保護する上で直面している問題を浮き彫りにしていると述べています。
関連:中国が支援するSalt Typhoonが米国国家警備隊を1年近くハッキング
「これらの詐欺は従来の検知方法を凌駕しており、プラットフォームのモデレーションと規制当局の監視の隙間を突いています」と、彼は電子メールでの声明で述べています。「AIの普及はこの問題をさらに悪化させており、高度な脅威アクターは備えの整っていない組織を狙っています。」
トランプ政権下の連邦政府も、そうした組織の一つと言えるだろう。3月には、ピート・ヘグゼス国防長官が、イエメンのフーシ派拠点への爆�撃計画に関する詳細な計画を、攻撃発生の数時間前にジャーナリスト(アトランティック誌編集長のジェフリー・ゴールドバーグ氏)にシグナル経由で誤って送信するという重大な運用上の失態を犯し、批判にさらされている。
ディープフェイクの進歩には早急な対応が必要
SecurityScorecardの最高情報セキュリティ責任者(CISO)であるスティーブ・コブ氏は、今回の事件はディープフェイク技術がいかに高度化しているかを改めて示すものだと指摘し、政府関係者に対する事件が今後さらに増えると予想している。
「こうした攻撃は通常、多角的なアプローチを採用しており、一見正当なメールアカウントから送信されるフィッシング攻撃から始まり、AIが生成したディープフェイクのボイスメールへとエスカレートしていきます」と、同氏は電子メールでの声明で述べた。「脅威アクターが政府職員になりすましたのは今回が初めてではなく、おそらく最後でもないでしょう。」
これらのインシデントによる脅威と、攻撃者が機密情報や秘密情報の収集に成功する可能性があることを踏まえ、政府はAIを活用した検出ツールを導入し、操作されたメディアやなりすましの試みを特定するよう促されるべきであり、ソーシャルメディアプラットフォームは既にこの対策を講じているとスード氏は述べた。
すべての組織と同様に、政府は、国民がコンテンツを批判的に評価できるようにするための積極的なメディアリ�テラシー教育を組み合わせた多角的なアプローチを実施すべきである。メディアの真正性を検証するための、リアルタイム検出、コンテンツ来歴基準、暗号認証といった堅牢な技術的ソリューション、そして悪質なディープフェイクを迅速に削除するためのプラットフォームによる対応と相まって強力な法的枠組みが求められています。
「こうした共同の取り組みは、国民の意識向上と技術的防御、そして規制圧力を組み合わせたもので、ますます合成化が進むデジタル世界において真実と信頼を守るために不可欠です」とスード氏は述べています。
ディープフェイク詐欺の標的になっている可能性があると考える人は、原則として、何らかの二次認証を探すことで、自分と関わろうとしたり会おうとしている人の真正性を検証するために、時間をかけて確認する必要があるとコブ氏はアドバイスしています。
「これには、既知の信頼できる電話番号に電話をかけたり、認証済みのソーシャルメディアアカウントでメッセージを送信したり、検証しようとしている人物と個人的なつながりのある人物に連絡を取ったりすることが含まれます」とコブ氏は述べています。 「私たちは、こうしたやりとりにおいて、健全な懐疑心をデフォルトの考え方として持つよう進化し、『信頼しつつも検証する』というアプローチを標準的な実践として採用する必要がある。」