出典:Family Stock via Shutterstock
AIによって強化されたディープフェイクは、企業や政府機関へのサイバー攻撃でますます一般的になっており、ほとんどの組織がその危険性を認識しています。しかし、専門家によれば、準備のパラドックスが存在しており、多くの組織がディープフェイク防御のための技術的ソリューションへの投資が遅れている一方で、自分たちはその猛攻に備えていると感じています。
10月7日、AI大手のOpenAIは研究結果を公開し、犯罪組織や国家グループが大規模言語モデル(LLM)を使って攻撃ワークフローを改善し、より巧妙なフィッシング誘導やマルウェアを作成していることを示しました。10月9日にメールセキュリティ企業Ironscalesが発表した2つ目のレポートによると、これらの手法は実際に効果を上げているようです。調査レポートによれば、中規模企業の大多数(85%)がディープフェイクやAI音声詐欺の試みを経験し、半数以上(55%)がこうした攻撃による金銭的損失を被っています。
ほとんどの企業はこの脅威を真剣に受け止めていますが、それでも対応が追いついていないとIronscalesのCEO、Eyal Benishti氏は述べています。
「ディープフェイクの脅威の状況は、何よりもまずダイナミックです」と彼は言います。「メール脅威や静止画像が依然として最も一般的な手段ですが、他にも多様なディープフェイクの形態が急速に増えています。実際、あらゆる種類のディープフェイクが現場でますます見られるようになっています。」
攻撃者はさまざまなAI技術を使って攻撃パイプラインを強化しています。ヒューマン・デジタルツインは、個人に関する公開情報を学習させることで、よりリアルなフィッシング攻撃を作成するのに役立ち、音声サンプルと組み合わせることで説得力のある音声ディープフェイクを作り出すことができます。AIの悪用に対する懸念から、Microsoftは音声クローン技術の機能をほぼ撤回しましたが、これはTeamsなどのアプリに統合でき、ユーザーや攻撃者が他人の声を乗っ取ってあらゆる詐欺に利用できる可能性がありました。
AI生成サイバー攻撃の拡大
サイバーセキュリティ専門家によれば、攻撃者はすでにこうした手法を使用しています。CrowdStrikeの「2025 Threat Hunting Report」によると、企業が遭遇する音声ディープフェイクの数は2025年に倍増する見込みです。現在、静止ディープフェイク画像やAI強化型ビジネスメール詐欺(BEC)攻撃が企業が遭遇する手法のトップとなっており、Ironscalesレポートによると、組織の59%がこれらの手法を経験しています。このレポートは、従業員1,000~10,000人の米国中規模企業のIT・サイバーセキュリティ専門家500人を対象に調査したものです。
かつてフィッシングは広く一般的な網をかけて一度にすべての魚を狙っていましたが、今では個々の魚に合わせた正確な餌を使うことが重要になっていると、サイバーセキュリティ企業Qualysのサイバー脅威インテリジェンス担当プロダクトマネージャー、April Lenhard氏は述べています。
「本物と偽物の境界を簡単にぼかすディープフェイク写真と同様に、AIで作られたメールも今や本物の上司や家族が送るメールと見分けがつかなくなっており、これがより危険になっています」と彼女は言います。
ディープフェイク攻撃による金銭的影響を受けた企業の平均損失額は過去12か月で16万7,000ドル、平均損失額は28万ドル。出典:Ironscales
さまざまなタイプのディープフェイク音声・映像によるなりすましも増加しており、Ironscalesの調査によれば、過去1年間で40%以上の企業がこれらの手法に遭遇しています。
企業はサイバーセキュリティ意識向上の面で追いつこうとしており、過去1年間で88%がディープフェイク関連のトレーニングを実施しており、2024年の68%から増加しています。ほぼすべてのサイバーセキュリティ専門家が自社のディープフェイク攻撃防御能力に自信を示しており、4分の3近くが「非常に自信がある」と答えていますが、実際には多くの組織がこうした攻撃を防ぎきれず、金銭的損失を被っています。被害企業の平均損失額は推定16万7,000ドル(これはDark Readingによる調整後の数字で、Ironscalesは平均28万ドルとしていますが、これは調査企業の5%が100万ドル超の損失を被るなど、極端な損失によって平均値が引き上げられています)。
ディープフェイク対策には意識向上トレーニング、適切なプロセスとツールが必要
組織はこの脅威を真剣に受け止めており、71%が今後1年から18か月の間にディープフェイク対策を最優先事項と考えていますが、多くは現在の防御策で十分だと考えています。AI強化型脅威への防御に投資していない組織は3分の2に上ります。
攻撃者がAI技術の採用を続ければ、この攻撃者と防御側のバランスはさらに悪化する可能性があると、サイバーセキュリティプラットフォームプロバイダーDarktraceのセキュリティ&AI戦略担当シニアバイスプレジデント、Nicole Carignan氏は述べています。
「現在の課題は、AIによって参入障壁が下がり、より高品質な攻撃の生産スピードが上がることです」と彼女は言います。「ディープフェイクの巧妙さがますます検知困難になっている今、人間だけに頼るのではなく、AI強化型の検知ツールを活用することが不可欠です。」
企業は引き続き従業員のトレーニングを行い、たとえ経営幹部であっても、一人の判断が企業全体に与える影響を減らすための適切なポリシーを策定すべきだとIronscalesのBenishti氏は述べています。
「一人の従業員の誤った判断が被害につながることを不可能にするポリシーを策定してください」と彼は言います。「すべての送金、請求書支払い、給与処理については、新規の依頼は支払い額に応じて複数段階の承認を経るようにしましょう。」
最後に、ツールを活用することで、最もセキュリティ意識の高い従業員でも見逃す可能性のある脅威を検知できると彼は述べています。脅威が従業員に届く前に検知することで、従業員はより生産的に働くことができ、ますます巧妙になるフィッシング攻撃を見抜くことに時間を割かずに済みます。
翻訳元: https://www.darkreading.com/cybersecurity-operations/deepfake-awareness-high-cyber-defenses-lag
