CFOの「偽動画」に2500万ドル送金 ディープフェイクの牙城を崩す“3つの盾”：AIなりすまし攻撃の手口と防御策

「まさか自社が」という油断が、数億円規模の損失を招く。CFOになりすまして巨額送金を指示するディープフェイク攻撃はもはや空想ではない。企業が講じるべき対策とは。

[Amy Larsen DeCarlo，TechTarget]

　「画面越しに話している上司は、本当に上司か」――。そんな疑念を抱かなければならない時代が到来した。

　AI（人工知能）技術の進化によって、捏造（ねつぞう）動画「ディープフェイク」を使った攻撃の手口が巧妙化している。攻撃者はインターネットに公開された、特定の人の音声や画像、動画を集めて合成させる。その人になりすまして標的をだます。セキュリティ専門家によると、近年は特に暗号資産（仮想通貨）の送金を支持するディープフェイク攻撃が広がっている。

　ディープフェイク攻撃に立ち向かうには、どうすればいいのか。

ディープフェイク攻撃に対抗する「3つの方法」

併せて読みたいお薦め記事

ディープフェイク対策とは

• 本物そっくりの偽動画「ディープフェイク」を見破る“6つの方法”はこれだ
• OpenAIの「ディープフェイク対策ツール」に過度な期待はできない訳

　かつてのなりすましメール（ビジネスメール詐欺）であれば、不自然な日本語や送信ドメインの違和感で詐欺に気付きやすかった。しかし、昨今のディープフェイク攻撃は、Web会議を使って「そこにいる人」になりすまし、その人の話し方や表情、しぐさを巧みに模範する。

　企業はディープフェイク攻撃による被害を避けるために、セキュリティ対策を強化しなければならない。以下は具体的な防御策を紹介する。

サイバー衛生を適用する

　サイバー衛生（サイバーハイジーン）とは、衛生管理の考え方を適用した基本的、日常的なセキュリティ習慣を意味する。ディープフェイク攻撃に立ち向かうためにも、サイバー衛生は有効だと考えられる。サイバー衛生の具体的な施策は以下の通りだ。

• 認証の強化
  • 既存の認証システムの効果を評価し、AIによるリスクに十分に対処できるかを考える。
• IDおよびアクセス管理（IAM）の実装
  • エンドユーザーのID管理を徹底する。その一環として、退社した従業員のIDを速やかに無効化する。従業員の役割に応じて、必要なシステムのみアクセスできるように制限する。
• データ損失防止（DLP）ツールの導入とデータの暗号化
  • 機密性が高いデータを保護するためのセキュリティポリシー、その手続きと管理方法を確立させる。

AIセキュリティツールを利用する

　AIセキュリティツール（AI技術を取り入れたセキュリティツール）はまだ初期段階にあるが、少しずつ存在感を高めつつある。AIを使ってディープフェイクを検出するセキュリティツールも登場している。

　十分なリソースを持つ企業であれば、AIセキュリティツールを自社で開発し、ディープフェイクを検出するという選択肢もある。

セキュリティ意識向上トレーニングを強化する

　従業員のセキュリティ意識を高めることも有用だ。定期的に実施する従業員向けのセキュリティトレーニングでは、特に以下を強調するとよい。

• ディープフェイクに「説得力」が増している
  • あるディープフェイク攻撃では攻撃者が標的企業の最高財務責任者（CFO）になりすまし、従業員とのビデオ電話を通じて2500万ドルを送金させることに成功した。声やしぐさの自然さのため、従業員はディープフェイクであることに気づかなかった。
• 個人や企業を脅迫したり名誉を棄損する
  • ディープフェイク攻撃のもう一つの手口は、標的企業の従業員が不正な行動をしている画像や動画を捏造することだ。従業員を脅迫して企業の内部情報へのアクセスを許可させる、身代金を支払わせる、偽のコンテンツを拡散して企業の評判や株価を毀損しようとする。
• 攻撃者は盗んだデータとディープフェイクを組み合わせる
  • 攻撃者は、ユーザー名やパスワードなどの盗んだ個人情報や、インターネットに公開された顔の画像などを組み合わせ、顔認証による多要素認証（MFA）を回避しようとする場合がある。他にも、その人になりすましてクレジットカードに新規に申し込みする、銀行の法人・個人アカウントにログインする、新規に口座を開設するといったリスクも考えられる。

---

　ディープフェイクの画像や動画を見破るためには、以下を注視する必要がある。

• 瞳孔の拡張度合い
• 瞬きの不自然さ
• 人工的なノイズが発生していないか
• 画面側のユーザーにリップシンク（口の動きと音声を一致させる技術）が使われていないか
• ぼやけた不規則な影がないか