eSecurity Planetのコンテンツおよび製品に関する推薦は、編集上の独立性を保っています。パートナーへのリンクをクリックすると、収益が発生する場合があります。 詳しくはこちら
多くの組織は長年にわたり、目で見たものや耳で聞いたものを信頼するよう従業員を教育してきました。
しかし、人工知能(AI)の進歩により、そうした前提が急速に崩れつつあります。
HYPRが実施した最近のLinkedIn Liveでのデモでは、無料ツールと公開画像を使って、いかに素早く簡単に本物そっくりのディープフェイクを作成できるかが示されました。
デモでは、HYPRのCEO兼共同創業者であるBojan Simicが、オンライン上の写真とオープンソースソフトウェア、仮想カメラアプリを組み合わせることで、攻撃者が数分でリアルタイムのディープフェイクを作成できることを実演しました。
主なポイント
- ディープフェイクの作成は、今やほぼ誰にでも可能。無料ツール、公開画像、オンラインチュートリアルを使えば、数分で説得力のある音声・映像なりすまし攻撃を実行できます。
- 従来の信頼シグナルの信頼性低下。AIが生成した声や顔は経営幹部、従業員、信頼できるパートナーを巧みに模倣できるため、視覚・聴覚による確認だけでは不十分です。
- ソーシャルエンジニアリングおよび詐欺リスクの増大。攻撃者はAI生成のなりすましを利用して、金融取引を操作したり、不正アクセスを試みたり、機密情報を窃取したりできます。
- 多層的な本人確認の実装。アウト・オブ・バンド確認プロセス、デバイス信頼、複数の検証方法を組み合わせることで、なりすまし攻撃の成功リスクを低減できます。
- フィッシング耐性のある認証の重要性。パスキー、FIDOベースの認証、ハードウェアセキュリティキー、継続的なアイデンティティ保証は、人間の判断のみに頼るよりも強固な保護を提供します。
ディープフェイク攻撃の実行容易化
このデモは、サイバーセキュリティ上の懸念が高まっていることを浮き彫りにしました。高度ななりすまし攻撃は、もはや国家レベルの攻撃者や高度なスキルを持つサイバー犯罪者だけに限られてはいないのです。
顔・声・アイデンティティを複製するために必要なツールは広く普及しており、誰でも簡単に使える状況になっています。
Simicによれば、かつて説得力のあるディープフェイクを作成するには、AIの専門知識、高価なハードウェア、そして多くの時間が必要でした。
しかし今日では、フリーソフトウェアと公開チュートリアル、一般的なパソコンさえあれば、5分以内に同じことができてしまいます。
これにより、詐欺やソーシャルエンジニアリング、アカウント侵害攻撃を行おうとする脅威アクターの参入障壁は劇的に低下しています。
組織がリモートコミュニケーションやデジタルインタラクションに一層依存するようになるにつれ、ディープフェイクに関連するリスクは増大し続けています。
攻撃者はAI生成の音声や映像を使って、ビデオ会議、電話、本人確認プロセスにおいて、経営幹部、従業員、ベンダー、信頼できるパートナーになりすますことができます。
実際には、従業員が正規の企業リーダーと通信していると信じ込まされ、ディープフェイクを用いたソーシャルエンジニアリングによって多額の金銭的損失が発生した事例も報告されています。
従来の本人確認が機能しなくなっている理由
最大の課題は、従来の信頼確立手法の信頼性が低下していることです。
数十年にわたり、組織は視覚的・聴覚的な手がかりに頼ってアイデンティティを確認してきました。
見た目や声が期待される人物と一致していれば、それだけで十分な証拠とみなされることが多かったのです。
ディープフェイク技術はその前提を揺るがしています。Simicが指摘するように、「見ることは信じることではなく、聞くことは証明ではない」時代になりました。
多くのセキュリティ意識向上プログラムでは、会話中の不審な行動、映像の乱れ、矛盾点に注意するよう従業員に促しています。
ユーザーの警戒心は依然として重要ですが、ディープフェイク技術は急速に進歩しており、人間の判断だけに頼る防衛手段はもはや脆弱になりつつあります。
攻撃者は、見慣れた顔や声を信頼しようとする人間の自然な傾向を巧みに悪用しています。
組織がディープフェイクリスクを低減するための方法
リスクを低減するために、組織は本人確認において多層的なアプローチを採用すべきです。
まず、電信送金、特権アクセスの申請、パスワードリセット、機密データの開示など、重要なアクションには複数の確認手段を義務付けるべきです。
リスクの高いリクエストを承認する前に、別の通信チャネルを使用するアウト・オブ・バンド確認プロセスを確立することも重要です。
次に、パスキー、ハードウェアセキュリティキー、FIDOベースの認証方式といったフィッシング耐性のある認証技術を導入すべきです。
これらの対策により、本人確認が視覚的な確認だけでなく暗号学的な証明と結びついていることを確保できます。
また、セキュリティチームはデバイス信頼とアイデンティティ保証プログラムを強化すべきです。
信頼できるデバイスおよび想定される場所から接続していることを確認することで、ディープフェイクによるなりすまし試行が発生した際の追加的な検証が可能となります。
最後に、本人確認は一度限りのイベントではなく、継続的なプロセスとして捉えるべきです。
継続的なアイデンティティ保証、行動監視、リスクベースの認証を活用することで、初回アクセスが許可された後であっても、組織は不審なアクティビティを検知できるようになります。
アイデンティティは新たなセキュリティ境界
AIを活用したなりすまし攻撃が進化し続ける中、組織はデジタル環境における信頼の確立方法を根本から見直す必要があります。
ディープフェイクは顔や声を複製することができますが、暗号化された認証情報、信頼できるデバイス、強固な認証制御を容易に複製することはできません。
アイデンティティが新たなセキュリティ境界となった時代において、本人確認プロセスを強化した組織こそが、ディープフェイクを悪用した詐欺という高まる脅威に対してより効果的に防衛できるでしょう。
翻訳元: https://www.esecurityplanet.com/threats/deepfakes-are-lowering-the-barrier-to-identity-fraud/
