AIの波がすべての詐欺を押し上げています――現状は悪化の一途をたどっています。
Proofの「取引・本人確認詐欺速報」(PDF)は、サイバー主導の詐欺が急増していることを強調し、その原因を解説しています。主な要因は、インターネット上の個人情報の増加(SNSなどの情報源から)、AIによるそのデータの収集・統合能力、そしてAIによって強化された「サービスとしての詐欺」の登場です。
「今日の詐欺は5年前とは様相が異なります。合成的で、自律的、そして拡大しています」とProofのCEO、Pat Kinselはコメントしています。「今や数十億ドル規模の資産が関わる高リスクなやり取りが見られます……信頼は、身元が巧妙に偽装され、大規模に収益化できる世界で、設計し直さなければならなくなっています。」
潜在的な脅威は非常に大きいものです。Deloitteの金融サービスセンターは、ジェンAIによって米国の詐欺被害額が2027年までに400億ドルに達すると予測しており、これは2023年の123億ドルから年平均成長率32%で増加する計算です。
この成長を促進する主な要因は2つあります。1つ目は、インターネット上に悪意のある者が利用できる個人データが膨大に存在することです。一部はインフォスティーラーなどのマルウェアによって盗まれ、さらに多くはSNSサイトからスクレイピングされます。これらの情報を組み合わせて統合すれば、詐欺を始めるのに十分な材料となります。
2つ目の要因について、ProofのCISO、John Heasmanはこう説明します。「生成AIの登場により、取引プロセス中に個人がどのように自分を見せるかを偽装できるようになりました――ディープフェイク音声、偽の運転免許証、偽造書類など、すべて生成AIによって作られます。この2つが組み合わさることで、標的となる被害者について十分な知識を持った脅威アクターが、ビジネスプロセスに入り込むことができるのです。」
今後の詐欺の多くは、新たに登場した「サービスとしての詐欺」分野の統合によって推進されるでしょう。現時点では、このサービスはやや断片的ですが、それも長くは続きません。「このサービスには3つの側面があります」とJohn Heasmanは指摘します。1つ目は標的データの入手です。「彼らはフルズ(完全な個人情報セット)やインフォスティーラーからのログなどを販売しています。次に、ディープフェイクの作り方や、特定の暗号通貨取引所などでKYC(本人確認)を回避する方法などの『知識』を販売します。3つ目がサービス要素――すでに持っているフルズから運転免許証を生成する方法です。これが現在の『サービス』要素です。」
現時点では、「サービスとしての詐欺」は、プロセスの異なる部分を販売する売り手たちによる寄せ集め状態です。これは、すでに犯罪地下組織で見られるサイバー犯罪の民主化です。もはや技術的な能力は必要なく、犯罪者であればサイバー詐欺師になれるのです。
広告。スクロールして続きを読む。
それだけでも詐欺の発生率は増加しますが、さらに2つの進展が状況を悪化させます。1つ目はAIのより効果的な活用です。AIエージェントは、購入したフルズログから標的を抽出する手作業を排除し、10万件のフルズ記録から最も有望な100件を見つけ出すことができます――これは3段階攻撃プロセスの最初の要素です。2つ目の要素では、ディープフェイク音声の作成ノウハウが、説得力のあるディープフェイク動画の作成にも拡大します。ディープフェイク音声はすでに不気味の谷を越えており、ディープフェイク動画も同様になるでしょう。
詐欺プロセスの3つ目の要素(サービス)では、HeasmanはAI支援による「エイジング」の登場を予想しています。詐欺師は自分が所有する口座に資金を移そうとしますが、盗んだ資金を受け取るためだけに新しい口座を作るのは弱点となります。「新しいものは詐欺防止サービスの監視を受けやすい」と彼は説明します。「数か月間存在し、『通常』の取引履歴がある銀行口座は、注目されにくいのです。『エイジング』とは、盗んだ資金を目立たずに受け取るためだけに設計された偽口座を作成・維持するプロセスです。」
現時点では、これは手作業で時間のかかるプロセスです。「私は、エージェントAIがこのプロセスを担うようになると考えています」と彼は続けます。「絶えずメールアカウントや銀行口座を作成・エイジングし、脅威アクターが常に監視の目を逃れる既製の口座を確保できるようになるでしょう。」
遅かれ早かれ、どこかの犯罪組織が、詐欺プロセスのこれらバラバラの要素を、AIを活用して一つの統合されたエンドツーエンドサービスにまとめる可能性が高いでしょう。
現実は単純です――サイバー世界は詐欺にとって絶好の環境です。AIによってもたらされたスピード、規模、巧妙さにより、従来の手作業による詐欺検出ではもはや対応できません。しかし、悪人がAIを使って詐欺を高度化するのと同様に、善人もAIを使って検出のスピード・規模・巧妙さを高めることができます。AIベースの詐欺検出が100%成功することはないかもしれませんが、AIなしの詐欺検出は壊滅的な結果を招くでしょう。
翻訳元: https://www.securityweek.com/fraud-a-growth-industry-powered-by-gen-ai/