ディープフェイクは、ここに来て、懸念を超え、大きな脅威と思われてきています。AIを駆使したこの最新の”なりすまし”技法は、画像や映像、音声などをリアルに、かつ徹底的に作り込むことで、発見がますます困難になってきています。この新技法は、極めて効果的なフェイクニュースや偽情報の拡散のほか、ソーシャルエンジニアリング展開の手段として活用されてきています。この兆しとして、有名人ディープフェイク広告も出現し始めています。
ウォールストリート・ジャーナル誌は、最新の記事で、有名人のディープフェイクが広告に登場していることを報じています。当然のことながら、これらのフェイク広告では、これらの有名人は、誰一人としてこのコマーシャル動画の撮影に1秒たりとも参加していません。ここに登場しているマスク氏、クルーズ氏、ディカプリオ氏は、問題の企業とは一切無関係で、本人の同意なく、無断で使われているのです。
広告におけるディープフェイクの悪用の可能性は、フェイク情報の活用に匹敵するのではないかと、その潜在的な脅威が警鐘されています。カーネギーメロン大学ハインツ情報システム・公共政策学部のデジタルメディア・マーケティング教授アリ・ライトマン氏は、この脅威について次のようにコメントしています。
「フェイク情報にはすでに十分苦労しているが、今、ここに来て、ディープフェイクが登場しており、その説得力は一段と増している。」
しかし、今のところ、幸いにも、ソーシャルエンジニアリング詐欺としてのディープフェイクの悪用は、まだ実現されていないのが現状です。これを物語る情報として、英国のテクノロジーニュースWebサイトである「The Register」は、サイバー攻撃者が使うツールは、今でも圧倒的にローテクなものが多いと指摘しています。
また、Sophosのシニアセキュリティアドバイザーは、次のような指摘をしています。
「ディープフェイク詐欺のリスクは誇張され過ぎている。Sophosの研究者 John Shierは数週間前のEl Regで、ディープフェイクの問題の多くは、まだ現実に見ていないことだと述べている。さらに、ここで、同氏は、フィッシングやその他のソーシャルエンジニアリングのような単純で安価な攻撃は実際にかなり高い効果をあげている。そのため、現行のコスト高のディープフェイクはまだ攻撃者が使用しないのではないかと述べている。」
同氏はさらに次のように、ディープフェイクの過度の報道について反論しています。
「うまく頼めば、情報は人から聞き出すことができる。ディープフェイクは紛れもなく懸念材料であるが、それらに気を取られてならない。」
SophosのShier氏が説明するように、通常の攻撃は、誰かが巧みに「人」から情報を聞き出していることから始まっています。
ここで明言できることは、犯罪者がソーシャルエンジニアリングに旧来のローテクのアプローチを使い続けるのは、そうしたアプローチが最も "投資対効果 "の高いからです。
「人」の問題は「人」によって解決することが必要であることを、改めて認識していただきたい。
KnowBe4の新しいスタイルのセキュリティ意識向上トレーニング「New School」 は、ハイテク、ローテクを問わず、「人」の弱点を狙うソーシャルエンジニアリング攻撃の防御に役立ちます。
また、「The Register」では、ローテク攻撃とディープフェイク脅威の現状につてのストーリー(英文)を掲載していますので、ご参考にしてください。
原典:Stu Sjouwerman著 2022年10月26日発信 https://blog.knowbe4.com/dont-let-high-tech-distract-you-from-low-tech
