生体認証すら突破 ディープフェイクを駆使した高度な詐欺手法の全貌:セキュリティニュースアラート
Group-IBはAIによるディープフェイクで金融機関の生体認証を回避する攻撃手法を解説した。インドネシアでは1100件以上の詐欺が確認され、被害額は200億円越えを超えるという。
Group-IBは2024年12月4日(現地時間)、ディープフェイクを悪用した新たな金融詐欺に関する調査結果を報告した。攻撃者はこの手法を悪用することで顔認証や生体検知などの生体認証を回避しているという。
この調査は2024年8月下旬にインドネシアの著名な金融機関が報告したディープフェイク詐欺事件を契機に実施された。同機関はモバイルアプリケーションのセキュリティ対策を強化していた。しかし詐欺師たちはAIで生成されたディープフェイク写真を使ってこれらの防御を突破したとされている。
被害額は200億円越え ディープフェイクを駆使した高度な詐欺手法の全貌
Group-IBの調査では1100件を超えるディープフェイク詐欺の試みがインドネシアの金融機関で確認されている。詐欺師たちはマルウェアやソーシャルメディア、ダークWebなどを通じて被害者のIDを入手し、ディープフェイクを使って顔写真を操作し、これを元に金融機関の生体認証システムを欺いたとされている。調査で判明した詐欺手法ではAI生成画像や仮想カメラ、アプリのクローン技術が使用され、デジタル顧客確認(KYC)手続きやローン申請プロセスが不正に突破されている。
詐欺手法の手順は以下の通りだ。
- ディープフェイク画像の使用: 攻撃者は取得した被害者のID画像を操作してAIで生成した偽造写真を使用し、生体認証システムを回避する
- アプリクローン作成: アプリのクローン技術を利用して複数のデバイスをシミュレートし、セキュリティ機能を回避して不正アクセスに成功した
- 仮想カメラ技術: 事前に録画された映像を仮想カメラを通じて送信することでKYCシステムのリアルタイム認証を偽装する
- AIモデルによる顔スワッピング: AIモデルを使用して被害者の顔を別の人物の顔に置き換えて、不正行為を実行する
この詐欺手法によってインドネシア国内の金融機関は深刻な影響を受けているとされ、潜在的な被害は1億3850万ドル(日本円換算で約207億円)以上と推定されている。この他、個人のプライバシー侵害、金融機関の信頼低下、国家安全保障へのリスクも指摘されている。
金融機関はディープフェイク詐欺に対する防御策を強化する必要がある。特に顔認識や生体検知などの生体認証システムを強化し、仮想カメラやアプリのクローン作成を検出し、防止するための技術的対策が求められている。また金融セクター全体での意識向上と積極的な防御対策の重要性が強調されている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
ZabbixにCVSS 9.9の深刻な脆弱性 迅速なアップデートを推奨
Zabbixは監視ソリューション「Zabbix」に深刻な脆弱性があると報告した。リモートからの任意コード実行や権限昇格のリスクがあり、速やかなアップデートが推奨される。
徳丸 浩氏が2025年の脅威を予測 生成AIの悪用はどこまで現実化するのか?
サイリーグホールディングスが開催した記者説明会で、セキュリティ業界のご意見番である徳丸 浩氏が個人的に気になった2024年のセキュリティ事件を振り返り、2025年の脅威予測を発表した。
AWSが新たなセキュリティサービスを発表 24時間体制でインシデント対応を支援
AWSは新たなセキュリティサービス「AWS Security Incident Response」を発表した。AWSの専門チームが24時間365日体制でサポートし、セキュリティイベントの調査や対応を支援するという。
人気のファイルアーカイバー「7-Zip」に任意コード実行の脆弱性 直ちに更新を
7-Zipに脆弱性「CVE-2024-11477」が発表された。この脆弱性はリモートからの任意のコード実行を可能にするため、ユーザーは迅速なアップデートが推奨されている。