- ガートナーによると、5社中3社が最近ディープフェイク攻撃を経験
- 音声および動画のディープフェイクが攻撃者にとってより身近なものに
- プロンプトインジェクションにより、犯罪者が企業の機密情報へアクセス
ガートナーによれば、小規模ビジネスでさえサイバー犯罪の急増に直面しており、その原因はAIにある可能性があります。過去1年間にAIを利用した攻撃を報告した組織は全体の3分の2以上(62%)に上ります。
同社の調査によると、5社中3社(同じく62%)がディープフェイク攻撃を経験しており、44%が音声ディープフェイク攻撃を受けており、これは動画ディープフェイク(36%)と比べて最も一般的な攻撃手法となっています。
AIツールに対するプロンプトインジェクション攻撃(32%)や、企業の生成AIアプリケーションインフラへの攻撃(29%)も報告されており、AIが犯罪を強化するだけでなく、多くの犯罪者にとって有用な脆弱性となっていることが示されています。
AIはサイバー犯罪を増加させているのか?
「導入が加速する中、フィッシング、ディープフェイク、ソーシャルエンジニアリングにジェネレーティブAIを活用した攻撃が主流となる一方、GenAIアプリケーションインフラへの攻撃やプロンプトベースの操作など、他の脅威も現れ始め、勢いを増しています」と、ガートナーのVPアナリスト、アキフ・カーン氏は説明しています。
このレポートでは、AIの急速な発展により、ディープフェイクが複雑なものから即時生成可能なものへと進化し、音声ディープフェイクは現在リアルタイムで生成されるため、非常に説得力がありパーソナライズされたものになっていると述べています。
リアルタイムかつ個人特定型のディープフェイクは依然として非常に高価ですが、限定的な利用から広範な利用への移行は時間の問題です。
現場では、サイバーセキュリティ企業やアナリストが、ディープフェイクが初期の攻撃手法として利用され、その後攻撃者がより単純で安価な方法に切り替えるケースを確認しています。たとえば、詐欺師が電話でCEOを偽装した後、テキストのみのソーシャルエンジニアリング手法に切り替えることがあります。
企業のAIシステムを悪用する際、攻撃者がシステムを騙して機密情報を漏らさせたり、悪意のあるプロンプトを与えて統合機能を悪用しコードを実行させたりする事例が頻繁に観察されています。
今後は、多国籍企業だけでなく、あらゆる規模の企業が対策を強化することが推奨されており、不要な活動を排除するためのゼロトラストアプローチが有力な選択肢として浮上しています。
