本物そっくりの偽画像や偽動画、偽音声をAI(人工知能)がつくり出すディープフェイク。そこに、上司や取引先を装った偽メールでお金をだまし取るBEC(ビジネスメール詐欺)が掛け合わさってきた。だましの手口に偽音声、さらには偽動画まで使われる恐れがあり、BECリスクが高まっている。
「2023年はディープフェイクを悪用するビジネスメール詐欺(Business Email Compromise、BEC)が増えるとみている。BECを自動化するサービスも登場するだろう」。トレンドマイクロの岡本勝之セキュリティエバンジェリストはこう見通す。
ディープフェイクとはAI(人工知能)を使って本物をそっくりにまねて作成した、偽の画像や動画、音声などを指す。もう1つのBECとは、取引相手になりすまして業務上の偽メールで送金を促し、お金をだまし取る詐欺行為のことである。
トレンドマイクロは2022年12月26日に公開した「2023年セキュリティ脅威予測」において、主要トピックの1つにディープフェイクを挙げた。「3~4年前の時点でディープフェイク音声を使った(偽のメールではなく偽の音声による)BECだと疑われるケースが確認されている」(トレンドマイクロの岡本氏)。
サイバー犯罪者たちの間で現在、BECの手法にディープフェイク音声を取り入れる動きが活発になっていると岡本氏は指摘する。BECの対策では「メールを送ってきた人は本当にその人か」を電話などで確かめることが求められるが、今後は役員や上司が振り込み指示を電話でしてきた場合も、十分に疑う必要がありそうだ。
サービス化に注意、動画の悪用も
脅威はこれにとどまるわけではない。岡本氏は「BECに関する処理を自動化した『BEC as a Service』が2023年にも登場するだろう」と予測する。攻撃者は金銭目的の詐欺をより実行しやすくなる可能性があり、サイバーリスクは一段と高まるわけだ。
加えて2023年はディープフェイク音声だけでなく、ディープフェイク動画を悪用した詐欺リスクも高まる恐れがある。現時点でディープフェイク動画をつくるツールは誰でも手に入る。
例えばスマートフォンなどで利用できるアプリ「Avatarify」は、ユーザーが撮影した動画に映る人の顔を、別人の顔に簡単に差し替えられる。こうしたディープフェイク動画をWeb会議などで使い、動画版のBECが生じる可能性もあるのだ。
国内で初めてディープフェイク作成技術の悪用による逮捕事例が出たのは2020年10月のことだ。芸能人の画像を取り込んだポルノ動画をインターネット上に投稿した男性が逮捕された。
世界に目を向ければディープフェイクは政治的にも悪用されている。例えばウクライナのゼレンスキー大統領が国民に対してロシアに投降するよう促すディープフェイク動画が、2022年3月にFacebook上に投稿されている。
一方でディープフェイクの悪用に対する規制や法整備が欧州連合(EU)を中心に進んでいる。2022年6月には米グーグルや米ツイッターなどがEUの「偽情報に関する行動規範」の改訂版に署名し、偽情報の発信者に広告収入が入らないように対処するとした。
ただ「サイバー犯罪者は常に最新の攻撃ツールや攻撃手口を求めている」(トレンドマイクロの岡本氏)。ディープフェイクによる詐欺リスクへの警戒レベルは高めておくべきだろう。
