TokyoBlackHatNews

darkreading.com 4分で読了

産業規模でのデジタル詐欺:2025年は良くなかった

デジタル詐欺の概念。匿名のハッカーがノートパソコンを使ってフィッシング攻撃を行っている。

出典:Quality Pixel_shutterstock.jpg

世界的なデジタル詐欺との戦いは、サイバー犯罪者が大量かつ機会的な攻撃から、より高度でAI駆動の手口へと転換したことで、より困難なものとなっています。これらは検出が難しいだけでなく、はるかに大きな被害をもたらす可能性もあります。

Sumsubによる、400万件以上の詐欺試行データと約300人の詐欺・リスク専門家、さらに1,200人のエンドユーザーへの調査分析によれば、本人確認企業が「高度化シフト」と呼ぶ顕著な変化が昨年見られたといいます。

詐欺とフィッシングの高度化シフト

高度な欺瞞技術、ソーシャルエンジニアリング、AI生成の身元情報、テレメトリ改ざんを伴う詐欺は前年比180%増加し、全体の詐欺件数に占める割合も2024年の10%から2025年には28%へと増加しました。さらに不穏なことに、Sumsubは詐欺師が人間の介入を最小限に抑えた自律型システムをますます活用し、多段階の詐欺を実行していることを発見しました。AI生成の書類は、昨年デジタル詐欺で使われた偽IDや記録全体のわずか2%を占めるに過ぎませんでしたが、ChatGPT、Grok、Geminiのようなツールによって支えられたこの小さな割合は、Sumsubによれば、今後の増加傾向を示しているとのことです。

「詐欺はもはや、手間のかからないコピペ攻撃が主流ではありません」とSumsubは膨大なレポートで結論づけています。「代わりに、より多くのリソースを必要としながらも、成功すればはるかに大きな被害をもたらす精密に設計されたケースが増えています。リスクはもはや頻度だけでなく、複雑さと影響で測られるようになっています。」

SumsubのAI責任者パベル・ゴールドマン=カライディン氏は、調査の中でやや意外だったデータポイントとして、消費者詐欺の主な要因としてフィッシングが依然として45%を占めていることをDark Readingに語っています。

「特筆すべきは、サービスレベルのデータ侵害が現在、全体の36%を占めていることです」と同氏は述べます。多くの場合、被害者は自らの行動によらずに被害を受けているとゴールドマン=カライディン氏は指摘します。「企業にとっては、セキュリティが社内統制だけでなく、ベンダーエコシステムの強靭性にも大きく依存していることを再認識させられます。」

一方、米国自体は2025年に全体の詐欺発生率が前年比15%減少しました。しかし、世界的な傾向と同様に、攻撃の性質はAI駆動型の手口へと根本的にシフトしています。Sumsubが分析した米国での詐欺未遂の21%は、合成身元情報やAI生成のペルソナを利用したものでした。チャージバックの悪用(16%)、アカウント乗っ取り(19%)も米国で目立つ詐欺タイプでした。

「米国の詐欺被害者の74%が直接的な金銭的損失を被っているにもかかわらず、金融サービスへの信頼は81%と高いままです」とゴールドマン=カライディン氏は述べます。その一因として、企業の67%しか詐欺事件を規制当局に報告していない事実があると同氏は指摘します。「このギャップは、実際には多くの事件が内部で処理され、広く認知されていないことを示唆しています。」

AIによる本人確認の変革

Sumsubのレポートで際立ったテーマの一つは、AIツールが2025年にデジタル詐欺を産業化したという点です。ベンダーは、詐欺師が生成AIモデルを活用して、パスポート、運転免許証、公共料金の請求書など、正確なホログラムやリアルなフォント、質感まで備えたほぼ完璧な身元詐欺書類を作成していることを発見しました。多くの場合、詐欺師はテキストから動画を生成するシステムを使い、ライブネスチェックを回避するための非常に説得力のあるディープフェイクを作成しています。Sumsubはまた、これらの機能をパッケージ化した詐欺アズアサービスショップが登場し、スクリプトキディでも毎日何千もの偽書類を生成できるようになっていることも明らかにしました。

さらに憂慮すべきは、2025年には完全自律的に詐欺チェーン全体を実行できるAIエージェントがデジタル詐欺の最前線に現れ始めたことです。「彼らは従来型のボットではありません。むしろ、生成AI、自動化フレームワーク、強化学習を組み合わせて合成身元を作成し、リアルタイムで認証システムとやり取りし、結果に応じて行動を調整します」とゴールドマン=カライディン氏は述べます。「現段階ではまだ初期段階ですが、現在の傾向からすると、今後18か月以内に主流になる可能性が高く、特に組織化された詐欺ネットワーク内で顕著になるでしょう。」

全体として2025年、デジタル詐欺は世界レベルでより賢くなったと同氏は言います。「それが進化です。私たちは、防御システムが排除できる大量・低スキルの詐欺から、先進的な認証システムを回避するために設計された精密な攻撃へと移行しました。」

Sumsubのレポートは、AI対応詐欺の急増から身を守るために組織が取るべきいくつかの対策を強調しています。そのリストには、多層的な本人確認メカニズム、AI対応の詐欺検出ツール、行動分析、脅威インテリジェンスの共有などが含まれています。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/digital-fraud-industrial-scale-2025

ソース: darkreading.com
#2025年 #2025年サイバーセキュリティ #2FAフィッシング #AIエージェント #AIサイバー犯罪 #AI詐欺 #ディープフェイク #デジタル詐欺 #詐欺対策 #身元詐称

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開