ディープフェイクによるなりすまし詐欺で約40億円の被害が発生：CFO Dive

多くの人にとってAIが身近な存在になりつつあるが、それは詐欺グループにとっても例外ではない。先日、英国でディープフェイクによる詐欺で日本円にして約40億円の被害が発生した。

[Grace Noto，CFO Dive]

　英国の経済紙『The Financial Times』によると、英国のエンジニアリングコンサルティング会社のArupは、約2500万ドル（日本円で約40億円）の詐欺被害を受けたという（注1）。AIを使ったディープフェイクによって同社のCFO（最高財務責任者）になりすました詐欺グループが従業員に香港の銀行口座への送金を依頼したことが原因だ。

被害総額は約40億円　ビデオ会議をしてもなりすましには気付けない

　香港警察によると、Arupの従業員が、同社のCFOを名乗った人物から機密取引に関するメッセージを受け取ったという。

　なりすましたCFOやAIが生成した他の従業員とのビデオ会議の後、その従業員は5つの異なる香港の銀行口座に複数回の送金を実施し、後に詐欺が発覚した。

　現時点では他社のCFOはこのような事件を特に意識していないかもしれないが、これがもっと頻繁に発生するようになれば状況は変わるだろう。四大会計事務所であるKPMG USのマシュー・ミラー氏（サイバーセキュリティサービス担当上級管理職）は「CFO Dive」に対し、「企業の財務の鍵を握っており、またそのため悪意のある詐欺グループのなりすましのターゲットとなる可能性の高いCFOが高い意識を持つことは重要な第一歩だ」と語った。

　「経営幹部がなりすましの被害に遭う脅威や、そのような詐欺行為が重要なビジネスプロセスにどのような影響を与えるかについて、従業員は認識しておく必要がある」（ミラー氏）

　Arupの事件は、AIで偽造または操作された画像や音声、ビデオであるディープフェイクに関する懸念がビジネスリーダーと規制当局の間で高まる中で起きた。この詐欺のニュースが最初に報じられたのは2024年2月のことで、ある大企業がディープフェイクの標的になっていたことを香港警察が突き止めたが、その時点ではArupの社名は明かされなかった。2024年5月16日（現地時間）の報道によると、同年5月に入ってからこの件に詳しい関係者が標的はArupだったことをThe Financial Timesに伝えたという。

　Arupは2024年1月に香港警察に詐欺事件が発生したことを報告し、The Financial Timesに対し、偽の音声と画像が使用されたことを認めたが、事件はまだ調査中であるため、詐欺に関する詳細については明言を避けた。同社は「CFO Dive」からのコメントの要請にはすぐに応じなかった。

　従業員がArup本社に問い合わせて詐欺を発見するまでに送金した総額は、合計で2億香港ドル（約2500万ドル）に上った。

　AIを活用したディープフェイクは、詐欺グループが認証要件を回避して正規の顧客の口座にアクセスしたり、送金を承認する権限を持つ企業内の個人になりすましたりするなど、多くの悪質なユースケースに利用される可能性があるとミラー氏は指摘する。

　この種の詐欺は新しいものではないが、生成AIやその他のツールの登場により、詐欺グループはこうした詐欺を大規模に実行できるようになった。

　「生成AIを活用することで、詐欺グループの資金状況は変化するだろう。詐欺グループが一度詐欺による資金の調達に成功すると、その資金を使ってさらに多くの詐欺を実行するための手段を強化する。私はそうなることを非常に懸念している」（ミラー氏）

　CFOにとって重要なのは、詐欺に対する認識を深め、現状の詐欺対策を見直すことだ。

　「財務責任者はディープフェイクによるソーシャルメディア攻撃の被害を受けやすいビジネスプロセスを再検討し、そのリスクを防ぐために適切な管理と監視を実施する必要がある」（ミラー氏）

　重要なアクセス権や影響力を持つ個人になりすますためにディープフェイクが使われたのは、Arupの事件が初めてではない。香港証券先物委員会（HKSFC）は、仮想通貨企業Quantum AIがTeslaのイーロン・マスク氏（CEO）のディープフェイク画像を利用していると2024年5月第2週に警告したばかりだ（注2）。

　「Quantum AIは、AIが生成したマスク氏のディープフェイク動画や写真をWebサイトやソーシャルメディアで使用し、同氏がQuantum AIの基盤技術の開発者であるかのように世間を欺いている疑いがある」とHKSFCは最近のプレスリリースで述べている。

　また、この種の技術が社会経済に与える潜在的な影響についても多くの懸念があるとミラー氏は言う。選挙の際に悪意を持ってAIが利用されるのを懸念し、すでに多くの国の議員がAIの利用制限を求めている（注3）。

　「CFO Dive」が以前報じたところによると、ジョセフ・バイデン大統領は2024年3月の一般教書演説でAIが操作するディープフェイクの脅威を強調し、議会に対してこの新興技術がもたらす潜在的なリスクに対処するよう促したという（注4）。その週の後半には、EU（欧州連合）の議員たちが「EU AI法」を可決した（注5）。この法律は、AI利用の要件を定め、順守しなかった場合の厳しい罰則を詳細に規定したものである。

（注1）Arup lost $25mn in Hong Kong deepfake video conference scam（The Financial Times）
（注2）SFC warns public of Quantum AI for suspected virtual asset-related fraud（Securities and Futures Commission）
（注3）Exclusive: US intelligence spotted Chinese, Iranian deepfakes in 2020 aimed at influencing US voters（Cable News Network）
（注4）AI deepfakes targeted in Biden’s State of the Union speech（CFO Dive）
（注5）EU lawmakers pass sweeping AI rules with global reach, stiff penalties（CFO Dive）

原文へのリンク