生体認証すら突破 ディープフェイクを駆使した高度な詐欺手法の全貌：セキュリティニュースアラート

Group-IBはAIによるディープフェイクで金融機関の生体認証を回避する攻撃手法を解説した。インドネシアでは1100件以上の詐欺が確認され、被害額は200億円越えを超えるという。

[後藤大地，有限会社オングス]

　Group-IBは2024年12月4日（現地時間）、ディープフェイクを悪用した新たな金融詐欺に関する調査結果を報告した。攻撃者はこの手法を悪用することで顔認証や生体検知などの生体認証を回避しているという。

　この調査は2024年8月下旬にインドネシアの著名な金融機関が報告したディープフェイク詐欺事件を契機に実施された。同機関はモバイルアプリケーションのセキュリティ対策を強化していた。しかし詐欺師たちはAIで生成されたディープフェイク写真を使ってこれらの防御を突破したとされている。

被害額は200億円越え　ディープフェイクを駆使した高度な詐欺手法の全貌

　Group-IBの調査では1100件を超えるディープフェイク詐欺の試みがインドネシアの金融機関で確認されている。詐欺師たちはマルウェアやソーシャルメディア、ダークWebなどを通じて被害者のIDを入手し、ディープフェイクを使って顔写真を操作し、これを元に金融機関の生体認証システムを欺いたとされている。調査で判明した詐欺手法ではAI生成画像や仮想カメラ、アプリのクローン技術が使用され、デジタル顧客確認（KYC）手続きやローン申請プロセスが不正に突破されている。

　詐欺手法の手順は以下の通りだ。

1. ディープフェイク画像の使用：　攻撃者は取得した被害者のID画像を操作してAIで生成した偽造写真を使用し、生体認証システムを回避する
2. アプリクローン作成：　アプリのクローン技術を利用して複数のデバイスをシミュレートし、セキュリティ機能を回避して不正アクセスに成功した
3. 仮想カメラ技術：　事前に録画された映像を仮想カメラを通じて送信することでKYCシステムのリアルタイム認証を偽装する
4. AIモデルによる顔スワッピング：　AIモデルを使用して被害者の顔を別の人物の顔に置き換えて、不正行為を実行する

　この詐欺手法によってインドネシア国内の金融機関は深刻な影響を受けているとされ、潜在的な被害は1億3850万ドル（日本円換算で約207億円）以上と推定されている。この他、個人のプライバシー侵害、金融機関の信頼低下、国家安全保障へのリスクも指摘されている。

　金融機関はディープフェイク詐欺に対する防御策を強化する必要がある。特に顔認識や生体検知などの生体認証システムを強化し、仮想カメラやアプリのクローン作成を検出し、防止するための技術的対策が求められている。また金融セクター全体での意識向上と積極的な防御対策の重要性が強調されている。