Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

フィッシングの次はディープフェイク

つぶやいてみた。

セキュリティ対策の中で有効な対策の1つが従業員教育です。現在の外部攻撃はフィッシングメール、つまり人の脆弱性を狙った攻撃が主流ですが、メールだけの対策では近い将来問題が出てくるとDarkReadingの記事は指摘しています。

www.darkreading.com

 

ディープフェイク詐欺は、ビジネスにとって潜在的に壊滅的な問題です。実際、昨年、正体不明のエネルギー会社のトップエグゼクティブが、ボスの声を再現するために人工知能を使用して詐欺師によって200,000ポンドを支払うことを禁じられたことが明らかにされました。

(中略)

エンタープライズが進化するとき、敵が適応
する仕事用の受信トレイにあるフィッシングメールを知らない人はいません。実際、私たちの多くは、それらを検出する方法に関する必須のトレーニングと警告を受けました。スペルミス、緊急性、「同僚」からのなじみのない要求、またはわずかに珍しい送信者アドレスなどです。しかし、詐欺師は、確立されたフィッシング手法を続けても、それ以上長く生き残れないことを知っています。また、CEOまたはCFOを装って従業員の機密情報を抽出するために、ビデオ、音声、および電子メールメッセージングの混合であるディープフェイクテクノロジーを使用して企業からインテリジェンスを収集することによる大きな潜在的利益を理解しています。

Deepfakesは現代の職場で成功する方法を
オンラインにするために従業員を必要とする仕事の膨大な量で、それは、労働力が教育を受け、検出するためのツールを備えていることが重要です反論し、職場で行わdeepfake攻撃や不正行為から保護します。特に企業のディープフェイク検出が非常に重要である理由を理解することは難しくありません。本来、従業員は多くの場合、先輩の要求を満たそうとし、できるだけ少ない摩擦でそうします

(DarkReading記事より引用)※機械翻訳

 

◆キタきつねの所感

今年は、もしかすると、セキュリティのバズワードに「ディープフェイク」が入ってくるかも知れません。まだディープフェイク技術は初期段階と言えるかと思いますが、去年は既にAIによって合成された音声情報を使って2600万円の被害が出た事例が報告されていますし、

foxsecurity.hatenablog.com

 

こちらは、まだAIではなく「人」による攻撃だと思いますが、国内でも楽天のグループ会社に対する「偽装音声」による攻撃事例も出てきています。

foxsecurity.hatenablog.com

 

DarkReadingの記事では(少し機械訳が読みづらいですが)、攻撃側(ハッカー)がAI合成音声等のディープフェイクの有効性に気づき始めていて今年の攻撃が深化する可能性を指摘しています。

現在の攻撃の主流はメール(SMS)を使ったものが大半を占めますが、攻撃者もフィッシング攻撃がそう長くもたない事を知っていると考えると、当然の事ながら違った攻撃手法にシフトし、「人の脆弱性を突こうと考えるのは自然です。

 

※arstechnicaの先月の記事では2週間と550ドルの予算があればザッカーバーグ氏の映像をスタートレックの司令官に変えるフェイクビデオ(37秒)が作れる事を示しています。(※正確にはディープフェイクソフト代が計上されてないのでもう少し費用がかかりそうですが)

まだ映像には自然さが一部不足していますが、フェイクビデオの実用段階が近い事を伺わせる出来です。(興味ある方は、下のリンクから映像を見てみて下さい)

arstechnica.com

 

Facebookザッカーバーグ氏の様なカリスマ経営者は、外部に参考となる映像や音声が多く存在しているので、AI学習の材料が豊富で、より精度の高いディープフェイク映像が(近い将来)作られてくる可能性が高いと思います。

日本で考えると、ソフトバンクの孫さん、楽天の三木谷さんといった著名な経営者のみならず、テレビや講演等で活躍されている経営層の方々も、攻撃者(ハッカー)の潜在的な対象となってくると考えられます。

 

こうした、進化しつつあるディープフェイクに対抗していくには、やはり従業員のセキュリティトレーニング(と防御ツール)が重要になってきます。特にトップダウン型の(強いリーダーシップを持つ)経営者の方がいる企業では、従業員は何も考えずに「上の言う事に従う」傾向が強いと言われていますので、こうした最新の技術、あるいは事件傾向について、早めに従業員教育を開始しておかないと、将来大きな被害を受ける可能性が高いのではないでしょうか。

 

 

余談です。調べている中で気になった事メモです。こうしたディープフェイクソフトを使った映像では、FakeAPPが使われているクレジットをよく見かけましたが、現在公式にはダウンロード出来ない様です。

似たような機能を持ちそうなのがDeepFaceLabで、こちらはGithubにDLリンクがありました。

※使用には高性能なグラフィックボード(とCPUパワー)が必要そうです

github.com

 

フェイク映像では、以前に記事を書いた時も引用しましたが、オバマ元大統領のフェイクビデオ(それなりの時間とお金をかけて制作したもの)は、本物と区別が非常につきづらいレベルです。

www.youtube.com

 

他のフェイク映像では、下記によくまとまっていました。(芸能人のフェイク映像のレベルは・・・もう少しアレな気がしますが・・・)

future-fan.com

 

 

本日もご来訪ありがとうございました。 

Thank you for your visit.

 

ファクトチェックのイラスト

 

更新履歴

  • 2020年1月19日AM(予約投稿)