出典: Ole CNX / Shutterstock
ヒューマン・デジタルツイン(HDT)は、医学の研究をより安全かつ低コストで行う方法を提供し、エンジニアリングプロセスを強化し、脆弱性を特定することができます。しかし、急速に発展するこの技術の利点を攻撃者も見つけ出すだろうと、2人の研究者が警告しています。
HDTは、人間個人の行動的・心理的特性などのコアパターンを学習し、そのアバターは実際の人物の見た目や声を模倣できます。脅威アクターがディープフェイクを悪用する事例はすでに増加しており、AIの進歩によってデジタルツインがさらにリアルになることで、脅威はさらに悪化する可能性があります。これは特に、ソーシャルエンジニアリング攻撃での利用の可能性を考えると懸念されます。
HDTは、ソーシャルエンジニアリングや影響工作のあり方を根本的に変えつつあると、セントラルフロリダ大学の産業工学准教授ベン・ソーヤー博士と、Cognitive Security Instituteのエグゼクティブディレクター、マシュー・カンハム博士は警告します。今年のBlack Hat USAカンファレンス(ラスベガス)で、ソーヤー博士とカンハム博士は、攻撃者がHDTを使って被害者を心理的に操作する方法について詳しく説明します。
攻撃者はHDTをどのように利用できるのか?
明確にしておくと、ディープフェイクとヒューマン・デジタルツインは同じものではありませんが、重なる部分もあります。ディープフェイクの動画や画像は通常、複数の動画や画像を使って生成されますが、HDTはその人物自身のデータだけを使って構築されるバーチャルクローンです。HDTの目的は、個人に合わせたシミュレーション、モニタリング、意思決定支援を可能にすることであり、ディープフェイクとは異なり、しばしばリアルタイムで動作します。HDTはまた、反応的ではなく予測的です。バーチャル会議でディープフェイクが質問に答えることはできても、デジタルツインはその状況で個人が何を言い、どう行動するかを予測し、それに応じて振る舞うことができます。
例えば、攻撃者は潜在的な被害者のヒューマン・デジタルツインを使って、超個別化された攻撃を開発し、実際のターゲットに接触する前に様々な攻撃手法をテストすることができると、ソーヤー博士とカンハム博士は説明します。
サイバー犯罪者や国家主体のグループは、ソーシャルエンジニアリング攻撃でディープフェイクを使い、被害者にリアルに見える動画や画像で機密情報を盗み出すことに成功しています。今や従業員は、HDTが特定個人の行動をどれほど巧みに模倣できるようになっているかについても警戒すべきだと、ソーヤー博士とカンハム博士は警告します。防御側がディープフェイクを見抜く方法に取り組んでいる一方で、バーチャル会議で誰かがデジタルツインであることを見抜くのは、ほぼ不可能に近いほど困難だと彼らは言います。
「これにより、まったく異なる攻撃ベクトル、たとえばシステムの人間中心デジタルツイン(HCDT)などが可能になります。攻撃者は組織全体のスタッフをプロファイリングし、分散した社会的・経験的・トレーニングに基づく、あるいはまったく新しいタイプの脆弱性を見つけることができるのです」と彼らは述べています。「また、知識抽出やスキルを複製するコグニティブ・デジタルツインの世界も存在します。」
なりすましを新たなレベルへ
もう一つの懸念は、過去数年にわたる複数の大規模情報漏洩の結果として、大量の機微かつ個人的なデータが流出・入手可能となり、HDTが個人に新たなリスクをもたらす点です。「社会保障番号が盗まれる情報漏洩は『個人情報の盗難』と見なされますが、あなたの声や仕草、他者との過去のやり取りに関する詳細な情報のコピーが盗まれる漏洩と比べてどうでしょうか?」とソーヤー博士とカンハム博士は問いかけます。
驚くことではありませんが、すでに多くの人々がHDTを利用していると研究者たちは述べています。ソーシャルメディアインフルエンサーのカリン・マージョリーは、ファンが彼女のバーチャルペルソナ「CarynAI」と交流するための料金を請求しており、NBAスターのカーメロ・アンソニーはファンとの交流にHDTを活用しています。マーケティングインフルエンサーのマーク・シェーファーも、自身の著作やポッドキャスト、デジタル上の仕草をもとに「Markbot」と名付けたデジタルツインを作成しました。ソーヤー博士とカンハム博士は、米国最高裁判所長官ジョン・ロバーツのヒューマン・デジタルツイン「Scotobot」も構築しており、Black Hatのセッションで披露する予定です。
「Zoomは、私たち全員のHDTを構築し、代理として会議に参加できるようにしたいという意向を示しています」と彼らは述べています。「この技術は急速に進化しています。」