国務長官マルコ・ルビオ出典:Alan Gambrell via Alamy Stock Photo
国務長官マルコ・ルビオになりすまして、国内外の外交官や政治家とやり取りを行った脅威アクターが人工知能(AI)ソフトウェアを使用した事例は、ディープフェイク技術の高度化と、それが国家安全保障にもたらす脅威の増大を示していると、セキュリティ専門家は指摘している。
ワシントン・ポスト紙は昨日報じたところによると、なりすまし犯はAIを活用したソフトウェアを使い、ルビオ氏の声や文体を模倣した音声・テキストメッセージを送信したという。これは米国の高官および同紙が入手した国務省の公電を引用している。報告によれば、このなりすまし犯は標準的な携帯電話のテキストメッセージや暗号化メッセージアプリ「Signal」を使い、6月中旬から活動を始めたという。
なりすまし犯は「Marco.Rubio@state.gov」という表示名でSignalアカウントを作成したが、これは国務長官に関連するメールアドレスではない。このアカウントを使い、外国の外相、米国の知事、議会議員らに接触し、情報やアカウントへのアクセスを得ようとした。他にも特定されていない国務省職員がこのキャンペーンでなりすまされたと報告されている。
7月8日の記者会見で質問された際、国務省報道官タミー・ブルース氏は、同省がこの事件を把握しており「現在、監視と対応を行っている」と述べたが、「安全保障上の理由」で詳細には言及しなかった。攻撃の発信元は不明だが、ロシアの敵対勢力が関与しているとの憶測もあると専門家は指摘している。
「省は情報を守る責任を真剣に受け止めており、今後のインシデントを防ぐためにサイバーセキュリティ体制の強化に継続的に取り組んでいる」とブルース氏は会見で述べた。「我々はテクノロジー時代の真っただ中にいる。それ以上は控えたい。」
米政府、サイバーセキュリティ危機か?
この事件は、米国政府高官を標的とした少なくとも3件目のディープフェイク詐欺である。以前には、攻撃者がウクライナ高官になりすましてベン・カーディン上院議員(メリーランド州選出)に接触した事件や、ディープフェイクによる自動音声通話で元大統領ジョー・バイデンのなりすましが選挙キャンペーンで行われた。また、FBIは5月に警告を発し、悪意ある者がAI生成の音声メッセージを使い、米国高官になりすまして他の高官やその関係者を標的にしているとした。
高度化するなりすましキャンペーンによる脅威の高まりを踏まえ、こうした重大な事件が発生した際には、サイバーセキュリティが連邦政府の最優先事項であるべきだと専門家は述べている。これらの事件は深刻なセキュリティ侵害であり、国民の信頼を損なうだけでなく、連邦政府が外部の脅威から公式な通信やインフラを守る上で直面している課題を浮き彫りにしていると、Aryaka社のセキュリティエンジニアリング兼AI戦略担当副社長アディティア・スード氏はメール声明で述べている。
「これらの詐欺は従来の検出手法を上回り、プラットフォームのモデレーションや規制監督の隙間を突いている」と彼はメールで述べた。「AIの普及はこの問題をさらに悪化させており、高度な脅威アクターが準備不足の組織を狙っている。」
トランプ政権下の連邦政府もそのような組織の一つと見なされるかもしれない。というのも、3月には国防長官ピート・ヘグセスが誤って記者にテキスト送信し、イエメンのフーシ派標的への米軍爆撃計画の詳細を、攻撃数時間前にThe Atlantic編集長ジェフリー・ゴールドバーグ氏にSignalで伝えてしまったという重大な運用上のセキュリティミスが批判を浴びたばかりだ。
ディープフェイクの進化、即時対応が必要
この事件はまた、ディープフェイク技術の高度化を改めて示すものであり、今後も政府高官を狙った事件が増えるとSecurityScorecard社の最高情報セキュリティ責任者(CISO)スティーブ・コブ氏は指摘している。
「これらのキャンペーンは通常、多面的な手法を用い、まず一見正規のメールアカウントからフィッシング攻撃を送り、次にAI生成のディープフェイク音声メッセージへとエスカレートする」と彼はメールで述べた。「脅威アクターが州高官になりすましたのはこれが初めてではなく、おそらく最後でもないだろう。」
こうした事件による脅威や、攻撃者が機密情報を入手する可能性の高さは、政府がAIを活用した検出ツールを導入し、改ざんメディアやなりすましの試みを特定する必要性を示している。ソーシャルメディアプラットフォームはすでにこの対策を講じているとスード氏は述べた。
すべての組織と同様に、政府も多面的なアプローチを取るべきであり、積極的なメディアリテラシー教育によって国民が情報を批判的に評価できるようにし、リアルタイム検出やコンテンツの出所証明基準、暗号認証などの強力な技術的ソリューションでメディアの真正性を検証し、さらに強力な法的枠組みと迅速なプラットフォーム対応による悪質なディープフェイクの削除を組み合わせるべきだ。
「このような公衆の認識向上、技術的防御、規制圧力を組み合わせた総合的な取り組みこそが、ますます人工的なデジタル環境における真実と信頼を守るために不可欠だ」とスード氏は述べた。
ディープフェイク詐欺の標的になっていると感じた場合は、一般的なルールとして、誰かが接触してきたり面会を求めてきたりした際、その人物の真正性を二次的な認証手段で確認するために、時間をかけて慎重に対応すべきだとコブ氏は助言している。
「これには、既知で信頼できる電話番号に電話する、認証済みのソーシャルメディアアカウントでメッセージを送る、または確認したい相手と個人的なつながりがある人に連絡することなどが含まれる」と彼は述べた。「こうしたやり取りでは健全な懐疑心を持つことを標準とし、『信じるが必ず確認する』という姿勢を採用していく必要がある。」