ディープフェイクの作成は、かつてないほど容易になり、いままで以上に組織や個人を狙う攻撃に使われています。
この脅威をキャラクター化したのが、セキュリティ意識向上月間キットに登場するDr. Deepfakeです。このキャラクターは、AIと生成AIが声や顔、さらには本人そのものになりすます時代の象徴です。
セキュリティ意識向上月間の第2週では、AIを悪用したフィッシングメールや詐欺、ディープフェイクをもう少し掘り下げます。従業員が勤務中だけでなく私生活でも、これらの脅威を正しく理解し、対処できるようにすることが目的です。
ソーシャルエンジニアリングの新しい武器
ディープフェイクを使った攻撃の事例はすでに複数報告されています。Arup、Wiz、Ferrariでは、CEO詐欺(BEC)が確認されました。Wall Street Journalの記事では、ディープフェイク攻撃を経験した組織の割合が10%から50%へ増加したと報じています。公表されていないケースも多いと考えられますが、ソーシャルエンジニアリングでのディープフェイク活用が広がっているのは間違いありません。
Scattered Spiderのような脅威グループは、ソーシャルエンジニアリングだけで大企業の防御を突破できることを示してきました。彼らがすでにディープフェイクを使っているかは不明ですが、なりすましと「緊急性」を演出することがどれほど有効か、過去の事例を見ると明らかです。音声や動画の偽装を重ね、よりリアルな攻撃が生まれるのは時間の問題でしょう。
信頼がリスクになる
この手口は、これまでの前提を覆しています。顔が一致していても、ビデオ通話を無条件に本物だと断定できません。声だけで本人確認を済ませることもできません。AI生成コンテンツが混ざると、「信頼」そのものがリスクになります。
疑って確かめる姿勢の重要性
セキュリティ意識向上は、ヒューマンリスクマネジメントへと進化しています。ディープフェイクへの対処は、過度に疑うのではなく、まず確認する姿勢を標準にすることです。次のポイントを、セキュリティ意識向上月間以降も継続してください。
防御の第一歩は意識と確認
Dr. Deepfakeは、私たちが直面している変化を象徴しています。もはや「リンクをクリックしたかどうか」だけの問題ではありません。いま問われているのは、見聞きした情報をそのまま信じて行動してしまうリスクです。目や耳を信じるな、とは言えません。しかし、行動の前に確認することは習慣化できます。
検知技術はいずれ追いつきますが、今は人が最も有効な防御です。セキュリティ意識は必須であり、動く前に確認すること。これこそが、次の重大インシデントを食い止める鍵になります。
原典:James McQuiggan著 2025年10月13日発信 https://blog.knowbe4.com/cybersecurity-awareness-month-the-rise-of-dr.-deepfake-combatting-social-engineerings-newest-weapon