Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

フェイクボイス詐欺がやってくる

つぶやいてみた。

ビジネスメール詐欺(BEC)の次は"音声”と言われていましたが、ディープフェイク技術の向上により既にAI音声詐欺が海外で発生していた様です。

www.forbes.com

2020年の初めに、アラブ首長国連邦の銀行のマネージャーは、彼が以前に話をした会社の取締役である彼の声を認識した男性から電話を受けました。取締役は朗報でした。彼の会社は買収を行おうとしていたので、銀行が3,500万ドルの資金を送金することを承認する必要がありました。手続きを調整するためにMartinZelnerという名前の弁護士が雇われ、銀行のマネージャーは、ディレクターとZelnerからの受信トレイの電子メールを見て、どこに移動するのに必要なお金を確認することができました。銀行のマネージャーは、すべてが合法であるように見えると信じて、送金を始めました。

 

キタきつねの所感

ビジネスメール詐欺(Business Email Compromise)から考えると、ビジネス音声詐欺(Business Voice Compromise=BVC?)とでも言うべきなのでしょうが、注意喚起のフェイズを超えて、UAEの銀行(センテニアル銀行)がディープフェイク(AI音声)に騙されて約40万ドル(約4,500万円)が詐欺口座に送金されてしまった様です。

 

別な海外記事に書かれている経緯を見ると、ビジネスメール詐欺の”後押し”として、企業買収のために送金が必要な会社の取締役のクローン(AI)音声が使われたと書かれており、音声だけで銀行が詐欺に騙された訳ではない様ですが、(海外)銀行における高額送金の認証手続きの脆弱性が突かれたのは間違いない様です。

詐欺師は電子メールを含む手の込んだ攻撃を仕掛けたようですが、最終的に銀行員に転送を行うように説得したのは音声ディープフェイクであり、243,000ドルが支払われた後、2番目に知られているそのような攻撃につながりました。2019年3月に英国で詐欺されました。

BIOMETRIC UPDATE.COM記事より引用)※機械翻訳

 

 

とは言え、これはコロナ禍であったが故のインシデントだったのかも知れません。一般的には高額送金に関しての本人(法人)確認は、銀行の窓口で行われる事になるかと思いますが、Forbesが掲載した裁判資料を見ると、インシデント発生は2020年1月となっており、世界各国でコロナ禍による行動制限がされていた時期です。

UAEの銀行が特殊な状況下で、例外的措置として標準的ではない本人確認、すなわちオンラインでの簡易的な送金認証手続きをしていた可能性が高いのかと思います。

 

詐欺の手口は、裁判資料に詳しく書かれていました。概略をまとめると以下となります。

①(偽)本社役員から銀行マネージャーがメール数通を受信 

 ※当該役員のメールが乗っ取られていた可能性=ビジネスメール詐欺(BEC

②2020/1/15に銀行マネージャー宛に被害企業の(偽)本社役員からの電話

 ※マネージャーは役員と面識があり騙された=ディープフェイク(AI音声詐欺)

③会社買収案件(35百万ドル相当)があり、代理人の弁護士を立てる(≒指示に従って欲しいとの要求)

④(偽)弁護士から送金指示のメールがあり、2020/1/22にセンテニアル銀行の2つの米国口座に合計約40万ドルが送金

 ※詐欺成立(攻撃者側の口座に送金完了)

 

f:id:foxcafelate:20211017071540p:plain

 

コンサル視点で考えると、大きく①~④のプロセスの中で、①の偽メール受信は銀行側がSPFDKIM等の送信ドメイン認証を入れていても(アカウント乗っ取りであれば)防げなかったかも知れませんが、コロナ禍の特殊の事情があったとは言え、②の偽電話で音声を頼りに”本人確認”してしまったと思われる点や、④の送金時に改めて企業側(正規登録者)の送金承認を取ってないと思われる点は、銀行側に脆弱点があった気がします。

特に、②の偽電話を受けた段階では、銀行のマネージャーは電話を「折り返す」という防衛策もあったと思いますが、(ディープフェイクの技術が向上している事を考えると仕方が無い事だったかも知れませんが)そのまま偽役員を音声だけで信じ込んでしまっています。

 

非対面(オンライン)の環境下では本人確認の脆弱性を狙った”ディープフェイク”は、今後益々見破りにくくなっていくものと予想されます。

『人は脆弱性である』という事を正しく認識し、コロナ禍等で非対面での例外的な運用を実施する場合(①~④の)各手順において、想定されるリスクを分析し、関所(セキュリティチェックポイント)を設ける事が肝要かと思います。

 

 

この記事を読んでいて、星新一ショートショート「ものぐさ太郎」がまた読みたくなりました。1974年に発表されたこのストーリーは、フェイクボイス詐欺を予言していると言っても過言ではないかと思います。

なりそこない王子 (講談社文庫 ほ 1-6)

なりそこない王子 (講談社文庫 ほ 1-6)

Amazon

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

ヘリウムガスで声を変える男の子のイラスト

 

更新履歴

  • 2021年10月17日 AM