検索
特集/連載

たった5分でMFA突破? 「生々しい詐欺音声」が明かす従来型セキュリティの限界ディープフェイクがヘルプデスクを襲う

厳格なマニュアルを持つはずのヘルプデスクが、いとも簡単に侵入を許してしまう。公開された「実際の詐欺音声」は、従来型セキュリティの限界を伝えている。担当者を欺く手口の全貌と、企業が取るべき対策とは。

[TechTargetジャパン] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

人工知能 | ID管理 | セキュリティリスク


 企業のITインフラはクラウドサービスに広がり、ネットワークの境界を重視する従来型の防御は限界を迎えている。社内外のシステムが複雑に連携する現代の企業ITにおいて、セキュリティの新たな防衛線となっているのは「アイデンティティー」だ。

 しかし、そのアイデンティティーを標的とした新たな脅威が勢いづいている。香港の企業では、CFO(最高財務責任者)を装ったディープフェイク(AI技術を使って合成された、事実と異なる映像や音声、写真)のビデオ会議によって、2500万ドルが詐取された。厳重な採用プロセスを経たにもかかわらず、北朝鮮の脅威アクターを開発者として雇い入れてしまう事件も発生している。

 このようなAI技術を悪用したソーシャルエンジニアリング攻撃において、狙われやすい弱点が企業のITヘルプデスクだ。窓口担当者は「従業員を助ける」という目的を持ち、迅速な問題解決を求められている。攻撃者はこの仕組みを巧みに利用する。

 AI技術の進化によって、わずかな音声サンプルから本人そっくりの合成音声を作れるようになったいま、声色による判断や、生年月日、社員番号といった個人情報を口頭で尋ねる従来の確認手法は機能しなくなりつつある。攻撃者はどのようにヘルプデスクを欺き、企業はそれをどう防げばよいのか。

従来型の“本人確認”はもはや無意味

 システムインテグレーターInsight Enterprisesで北米担当CISO(最高情報セキュリティ責任者)を務めるジェレミー・ネルソン氏は、年次イベント「Microsoft Ignite 2025」のセッション「Voices you can’t trust: Stop AI-powered impersonation attacks」に登壇した。ネルソン氏はそこで、実際のヘルプデスクへの攻撃音声を公開した。

 公開された音声では、攻撃者が新入社員を装い、多要素認証(MFA)のトークンを新たなデバイスに移行するよう要求した。攻撃者は意図的に専門用語を誤用して担当者を混乱させ、時にはいら立ちを装って緊急性をアピールした。担当者は規定通り、社会保障番号(SSN)の下4桁などの情報を確認したが、これらは既に漏えいしている可能性がある情報であり、本人確認の壁としては機能しなかった。結果として、わずか5分弱の通話でMFAの移行が完了し、侵入を許してしまった。

 ネルソン氏は、この失敗を「担当者の責任ではない」と指摘する。一般的にヘルプデスクは通話時間の短縮をKPI(重要業績評価指標)としており、迅速な処理が評価される仕組みになっている。攻撃者は企業のヘルプデスクに共通するこの構造的な弱点と、スクリプト化された予測可能な処理手順を狙っている。AIモデルはわずか3秒の音声サンプルがあれば、その声色を模倣できる水準に達している。もはや音声による認証や、単純な個人情報の提示だけでは、相手が本物の社員であると判断することは不可能だ。

 この課題を解決する手段としてネルソン氏が提示したのが、「分散型ID」を用いた新たな認証プロセスだ。

 従来の認証システムは、1つのID管理システムに全従業員のIDやパスワードを集約させる。これに対して分散型IDは、公開鍵暗号方式の仕組みを応用し、エンドユーザー個人が自身のIDを「ウォレット」としてスマートフォンなどのデバイスに保持する。

 ヘルプデスクの業務プロセスに分散型IDを組み込むと、認証のフローは根本から変化する。パスワードのリセットやMFAデバイスの変更といった重要度の高い要求を受けた際、窓口担当者は口頭での確認を打ち切る。その後、口頭での確認の代わりに分散型IDのシステムを通じて、エンドユーザーのデバイスに認証要求を直接送信する。

 エンドユーザーは手元のデバイスで要求を受け取り、顔認証などの生体認証を用いて自身のアイデンティティーを証明する。システムが本人確認を完了させると、ヘルプデスク側の画面に「認証済み」のステータスが表示され、そこで初めて担当者は権限の変更作業に着手できる。この手順によって、ヘルプデスクは攻撃者による心理的な操作やディープフェイク音声に惑わされることなく、確実かつ迅速な本人確認を実現する。

 Insight Enterprises自身も、この分散型IDと顔認証を自社のヘルプデスク業務で利用している。導入プロセスにおいては、技術的な実装以上に、組織全体の緊密な連携と調整が重要であったという。

 最初のステップとして、生体情報である顔データを扱うための法的な要件を整理する必要があった。地域によって従業員の生体データの取り扱いに関する条件が異なるため、人事部門や法務部門と密接に連携し、適切なオプトアウト(拒否)の仕組みを用意した。認証システムを機能させるには、全従業員の高解像度な顔写真をシステムに登録させなければならない。

 ネルソン氏は、新しいセキュリティ対策を定着させる上で「組織変革管理」が最大の鍵になると強調する。単にツールを導入するだけではなく、なぜそれが必要なのかを従業員に説明し、反発を招かないよう丁寧にコミュニケーションを図ることが、プロジェクトの成否を分ける。

 AI技術を悪用した攻撃は今後さらに巧妙化し、規模も拡大するとみられる。企業は従来の境界防御やパスワードなどの個人情報による認証から脱却し、より確実なアイデンティティー管理の仕組みに移行することが求められている。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る