Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ビジネス詐欺はメールだけではなくなった

予想されていた事とは言え、ビジネスメール詐欺(BEC)は既にメールだけを警戒すれば良い時代ではなくなりつつある様です。

japan.zdnet.com

 

 犯罪者が、人工知能(AI)で生成した音声を利用し、企業の最高経営責任者(CEO)の声をまねて部下をだまし、資金を自分の口座に送金させている

 いわゆるディープフェイクボイス攻撃は、詐欺の次なるフロンティアとなるかもしれない。

 The Wall Street JournalWSJ)の報道によると、社名は伏せられているものの、英国を拠点とするエネルギー企業のCEOが、上司であるドイツの親会社のCEOと電話で話していると思っていたところ、ハンガリーサプライヤー22万ユーロ(約2600万円)を至急送金するよう頼まれたという。

 ところが実際は、その指示はAIによる音声技術を利用してドイツにいるCEOになりすました詐欺師からのものだった。世論操作や社会の対立を招く恐れがあるとして懸念材料となっているディープフェイクビデオの音声版だ。

 この英エネルギー企業が利用している保険会社Euler Hermes Groupが、この音声詐欺事件についてWSJに説明している。

 Euler Hermes Groupは、この詐欺に利用されたのは市販のAI音声生成ソフトだと考えている。

 英企業のCEOは、詐欺師が2回目の送金を求めて3度目の電話をかけてきた際、オーストリアの番号から電話がかかっていることに気付き、疑念を抱いた。2回目は送金しなかったが、最初の送金は、詐欺師の管理下にあるハンガリーの口座に振り込まれた後、メキシコに送金された。

 BBCは7月、AIソフトウェアを利用してCEOの声をまねる同様の事件をSymantecが3件確認したと報じた。

ZDnet記事より引用)

 

◆キタきつねの所感

ビジネスメール詐欺(BEC)から、メール(E)が消える日も近いかも知れません。トヨタ紡績が先日ビジネスメール詐欺の被害を受けた事から、日本でも(海外関連会社を持つ=英語のやり取りを行う大企業を中心に、改めてビジネスメール詐欺対策が進むと思いますが、メールだけでなく、音声もリスクとなる可能性がある事を頭に入れて、社内関連部門(経理)や経営層への啓もうを進める必要がありそうです。

 

※因みに、、この記事にある匿名のエネルギー企業のCEOは『1回目は送金してしまっている』=ビジネス詐欺が成功ています。

 

この記事を読んで思い出したのが、有名なオバマ大統領のFake映像です。この映像の音声部分だけで、仮に親会社のCEOのデータに合わせて、詐欺データが出来ていたとすれば、、、防ぐのは少し難しかったかも知れません。

www.youtube.com

 

オバマ大統領のフェイク映像は2017年のものです。この時よりも更にAI音声生成ソフトの精度は上がっている様です。

devnissen.xsrv.jp

 

今回使われたAI音声生成ソフトが何であったのかは分かりませんが、オバマ元大統領やヒラリーのフェイク音声を作ったとされる、Lyrebirdあたりのソフトが使われた可能性があるかも知れません。YouTube映像ではまだ少し自然さが無い部分もありましたが、ノイズ(不自然さ)がある程度あっても疑われにくい、海外拠点との電話、そして非常に音声が似ているので信じてしまった後はノイズに気づきにくいという部分も考えると、フェイクボイス(AI音声生成ソフト)とビジネス詐欺(不正送金)は非常に相性が良いかも知れません。

 

日本語は流石に難しいかな・・とも思ったのですが、前述の記事では、

海外の音声合成技術を紹介してきたが、日本企業も負けていない。

東京都文京区に本社を置く株式会社エーアイの「AIトークは文字情報を人の声にするだけでなく、感情を込めた音声にすることもできるまた、大人の男性の声や若い女性の声、3歳児の声にすることも可能だ。

例えば「ありがとうございます」という文字を入力し、「怒り」「悲しみ」「喜び」のいずれかを選んで「合成」ボタンを押すと、選んだ感情がこもった声がつくられて出てくる。

つまり「怒り」を選ぶと、ありがた迷惑な仕打ちを受けたときの「ありがとうございます」になるし、「喜び」を選ぶと、心から感謝している「ありがとうございます」になる。

NISSEN DIGITAL HUB記事より引用)

 

とあり、日本語の壁は意外に高くなくなりつつある事に気づかされます。壁がまだあるうちに、対策を急いだほうが良いのかも知れません。

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 ãã¡ã¯ããã§ãã¯ããã人ã®ã¤ã©ã¹ãï¼å¥³æ§ï¼


 

更新履歴

  • 2019年9月6日PM(予約投稿)