パスワードマネージャーの開発会社であるLastPass社は、従業員の1人が同社のCEOになりすました音声ディープフェイクを使用したソーシャルエンジニアリング攻撃の標的にされたと警告しました。 従業員はトレーニングを受けていたため、不信感を抱き、攻撃の被害に遭うことはありませんでした。しかし、パスワードマネージャーを提供している別のソフトウェア会社も同様に攻撃される可能性があります。
LastPassのシニアプリンシパル・インテリジェンスアナリストであるMike Kosak氏は、攻撃についてブログ投稿で次のように説明しています。
「当社のケースでは、ある従業員がWhatsApp経由で、当社のCEOになりすましたサイバー攻撃者から、電話、テキストメッセージ、音声ディープフェイクを含む少なくとも1件のボイスメッセージを受信しました。この攻撃は通常のビジネスコミュニケーションチャンネルの範囲外であり、従業員はソーシャルエンジニアリング攻撃の特徴が多く含まれていることに気付き、不信感を抱いたため、メッセージを無視し、社内のセキュリティチームに報告しました。これにより、脅威を防ぎ、社内外でこのような手口に対する認識を高めるための対策を講じることができました。」
LastPass社はディープフェイクを作成するテクノロジーは現在広く普及しているため、このタイプの攻撃は今後も増え続ける可能性が高いと警告しています。これらの攻撃を防ぐためには、これらの手口に対する認識を高める必要があります。
LastPass社は次のように述べています。
「ディープフェイクは、標的となる個人の音声やビジュアルを使って、生成AIにより本人による新たな発言を合成したり、サイバー攻撃者がディープフェイクツールをプログラムして作り上げたものを何でも実行したりするようにします。ディープフェイクは、政治的な情報工作やディスインフォメーションキャンペーンと関連付けられることが多いですが、ディープフェイクの精度が向上し、ディープフェイクを作成するためのテクノロジーの可用性が向上したことは民間企業でも長い間懸念されてきました。現在では、誰でも簡単にディープフェイクを作成できるサイトやアプリが多数公開されています。」
KnowBe4のセキュリティ意識向上トレーニングは、生成AIを利用した巧妙なソーシャルエンジニアリングの手口を紹介し、日々求められるセキュリティ上注意しなければならない行動に対して、従業員一人ひとりが騙されることなく、的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、LastPassの記事を参照してください。
原典:Stu Sjouwerman著 2024年4月18日発信https://blog.knowbe4.com/lastpass-warns-deepfake-phishing