AI生成のディープフェイク音声や動画を含む合成メディアは、個人や企業を欺くために犯罪者、詐欺師、スパイによって利用されるケースが増えている。
彼らは時に、従業員のCEOを装い、多額の送金を促したり、業務用アカウントへのアクセス権を要求したりする。また別のケースでは、競合他社や悪意ある人物が、経営幹部やその企業の評判を失墜させる目的で偽のメディアを作成することもある。
現在、サイバーセキュリティ保険プロバイダーのCoalitionは、ディープフェイク関連のインシデントに対する補償を組織向けに提供している。同社は火曜日、同社のサイバーセキュリティ保険ポリシーが、評判の失墜につながるものを含む特定のディープフェイク事案を補償対象とするようになったと発表した。この補償には、フォレンジック分析、ディープフェイクの削除や取り下げのための法的支援、危機対応コミュニケーション支援といった対応サービスも含まれる。
インタビューで、CoalitionのインシデントレスポンスリードであるShelly Ma氏は、ディープフェイクは同社が処理する保険金請求のごく一部にとどまっており、請求の98%は高度なAIの利用を一切伴っていないとCyberScoopに語った。
これは主に、悪意あるハッカーにとって「簡単に狙える標的が依然として十分に機能している」ためであり、侵害されたVPN、未パッチのソフトウェア、フィッシングが、標的組織へのアクセスを試みる者にとって依然として非常に有効だからだ。なりすまし詐欺でさえ、攻撃者は電話番号のスプーフィングのような、より低度な技術に頼る傾向がある。
Ma氏によると、これまでに確認されたディープフェイクを用いた侵害は、ディープフェイクをもっともらしく、信頼できる形で展開するために必要な技術的専門性を備えた高度な脅威アクターによるものが多いという。
「わたしたちがディープフェイクを確認したわずかな事例では、攻撃者は主にAI生成の音声やテキストを使って、信頼された連絡先になりすましていました」とMa氏は述べた。「典型的には、CEOや財務担当役員になりすまして不正な支払いを承認させたり、認証情報を共有させたりするもので、こうした攻撃は高度に標的化されており、既存のワークフローに溶け込むよう設計されています。そのため、まだそれほど一般的ではないにもかかわらず、非常に危険なのです。」
従来のフィッシングは、説得力のあるテキストで被害者をだますことに依存しているが、ディープフェイクの動画や音声は、この種の攻撃をより効果的にする「まったく新しい感覚的な真正性の次元」を加える。悪意ある者は、数十件の個別に調整された音声やテキストのなりすましを「数分」で生成することもできる。これは、LLMによる自動化が登場する以前には、偵察や手作業に数日を要していたものだと彼女は述べた。
「こうした攻撃は、疑念をショートカットしてしまい、非常によく訓練された従業員でさえすり抜けてしまう可能性があります」とMa氏は語った。
こうした成功したキャンペーンには依然として多くの手間がかかり、現時点では中小企業は、AIを用いた攻撃を仕掛けるだけの価値がある標的とは見なされないかもしれない。しかしMa氏は、AI技術がより高度で、安価かつ利用しやすくなるにつれ、これらの組織も、詐欺やビジネスメール詐欺(BEC)でAIが常態的に使われるようになるまで、おそらくあと12〜24カ月ほどだと見積もっている。
これは、他のいくつかの団体が述べていることとも一致する。今週、IDプロバイダーのID.meは、本人確認ツールを回避するためのAIやディープフェイク技術の利用により、サイバー犯罪者にとっての参入障壁が「驚くほど低く」なっていると述べた。政府および民間セクターにまたがるID.meの本人確認システムは、ディープフェイクを含むAI攻撃を「ますます頻繁に」受けている。
「高度なハッカーや組織は、個別に作り込んだエクスプロイトや回避手法を生み出すスキルと能力を持っていますが、これらのツールは、はるかに幅広い犯罪者層に不正の門戸を開いてしまいます」と同社は今週公表した新たな不正行為レポートで述べている。
9月、ID.meは発表したところによると、シリーズEラウンドで3億4,000万ドルを調達した。この資金は一部、AI駆動型の不正行為を防止・対抗する技術の加速に充てられるという。
翻訳元: https://cyberscoop.com/url-coalition-cybersecurity-insurance-coverage-deepfakes-reputational-harm/
