もはやAIの使用は「当たり前」 最先端技術で巧妙化する詐欺の手口とは?:CFO Dive
生成AIツールの普及に伴い、偽のテキストや電子メール、ディープフェイクボイスの大規模な生成が可能になった今、最先端技術を使用したサイバー犯罪が横行している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
パリに本社を構えニューヨークに米国本部を置く自動詐欺防止サービスを提供するTrustpairによると、96%の米国企業がの企業が過去12カ月間に少なくとも1件の支払い詐欺の標的になっている(注1)。サイバー犯罪者の手口が巧妙化する中で前年比71%増という結果となった。
2024年1月23日(現地時間)に発表された同社の調査結果によると、サイバー犯罪者は主にテキストメッセージ(50%)や偽のWebサイト(48%)、ソーシャルメディア(37%)、CEOやCFO(最高財務責任者)のなりすまし(44%)、ハッキング(31%)、ビジネスメール詐欺(BEC)(31%)、人物の動画や音声を人工的に合成するディープフェイク(11%)を使用して不正行為を実行していた。この調査は260人以上の財務および会計幹部を対象に実施されたものだ。
TrustpairのCEOであるバティスト・コロット氏は「調査結果から分かることは、詐欺師の手口はますま巧妙化、拡大しているということだ」と述べている。
詐欺において最先端の技術が“当たり前”のように使われている
米国連邦捜査局(FBI)によると、サイバー犯罪による潜在的な損失総額は、2021年の69億ドルから2022年には48%増加して102億ドルに達した(注2)。FBIのインターネット犯罪苦情センターには特に「ビジネスメール詐欺」による詐欺未遂に関する苦情が2万1832件寄せられ、調整後の損失総額は27億ドルを超えた。
「ChatGPT」のような生成AI(人工知能)によって、サイバー犯罪者が完璧に近いテキストや電子メール、フィッシングサイト、ディープフェイクボイスを大規模に作成することが以前と比較して容易になったため、このような攻撃が増加している。
Trustpairの報告書には「ChatGPTで生成されたテキストメッセージやハッキングされたWebサイト、ディープフェイクの電話は、サイバー犯罪者が最先端のテクノロジーとAIを駆使してかつてないほどの速さで巧妙に進化しており、今や当たり前のように詐欺に利用されている」という記載がある。
サイバーセキュリティ企業のMcAfeeの2023年の報告によると、サイバー犯罪者はほんの少しの音声サンプルさえあればほぼ誰の声でも複製し、ボイスメールやボイスメッセージテキストで偽のメッセージを送ることができるという(注3)。
サイバー犯罪者の目的は、数千ドルという大きい額を狙うのではなく数百ドルをだまし取ることだ。McAfeeが調査した7000人のうち、4人中1人が「AIによるボイスクローン詐欺を経験したことがある」もしくは「被害を受けた人を知っている」と答えた。この他、70%は「クローン音声と本物を見分ける自信がない」と回答している。
PwCが2023年12月に発表した報告書によると、サイバー犯罪者はAIを駆使して大量のデータを精査し、潜在的な標的を特定した上で詐欺の内容を調整できるという(注4)。「現在このようなことが起きているという確たる証拠はないが、こうしたリスクは将来的にまん延していくだろうという意見もあった」と報告書には書かれている。
Trustpairの調査によると、過去1年間に詐欺の標的となった企業のうち、90%が少なくとも1回の詐欺被害に遭っている。さらに25%の企業では、詐欺攻撃を受けたことによる経済的損失は平均500万ドル以上だった。
このような攻撃の潜在的なリスクは経済的損失だけではない。財務および会計幹部の50%は顧客や投資家に対する風評被害の可能性を懸念している。
Trustpairによると、支払い詐欺は深刻化する脅威であるにもかかわらず、多くの企業は対策が不十分であり、「過去6〜12カ月間に詐欺対策技術への支出が増加した」と回答した企業は56%にすぎないという。
「予算や優先順位の理由、また市場のソリューションに対する認識不足のため、企業は詐欺防止自動化への移行を迅速に実施しておらず、依然としてサイバー犯罪者に後れを取っている」とTrustpairは指摘している。
(注1)Payment Fraud Attempts on U.S. Businesses Spiked 71% in 2023, According to New Trustpair Research(Business Wire)
(注2)FESERAL BUREAU of INVESTIGATION Internet Crime Report 2022(FBI)
(注3)Artificial Imposters―Cybercriminals Turn to AI Voice Cloning for a New Breed of Scam(McAfee)
(注4)Impact of Artificial Intelligence on Fraud and Scams(PwC)
関連記事
高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。
ランサムウェアは“波及”する――ハッカー医師が語る医療セキュリティの現実
医療業界を狙ったサイバー攻撃が日々報道で話題になる中、二人の“ハッカー医師”が「被害を受けなかった近隣の病院」への影響に着目して調査を実施した。どのような結果が得られたのだろうか。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。