今回お伝えするハッカーによる事案は、少し前に多国籍企業の香港オフィスで発生しました。この企業名は公開されていません。ハッカーは、初期の攻撃方法としてフィッシングメールを使用し、次にビデオ通話を行い、ディープフェイクによって会議の参加者になりすますという前例のない詐欺を行いました。
この事案では、財務担当の従業員が、ハッカーを本当の経営幹部であると誤って認識し、詐欺であることが発覚するまでに15回取引し、合計2億香港ドルを5つの異なる香港の銀行口座に送金しました。
ビデオ全編はこちらからご覧ください。
香港警察の報告によると、この被害者は最初にフィッシングメールを受信し、緊急の金融取引に関するオンラインミーティングに誘導されています。詐欺師は、CFOなどのこの企業の複数の幹部が会話しているように見せかけるための細工を慎重に行っていました。
しかし、その会議に参加した「実在の人物」はその財務担当の従業員だけでした。その従業員は会議の後で金を振り込んでいます。CFOを含め、会議に参加した他の人物は全員偽物であり、会話はすべて事前に録音されていました。自然なやりとりではありませんでしたが、この財務担当者は幹部から送金を指示されたと信じてしまいました。
この詐欺の詳細は不明ですが、標準的な手口を取り入れているように思われます。フィッシングメールはCEOになりすましており、財務担当者に重要な財務取引について議論するために緊急会議に出席するよう求めています。
その会議では、幹部が取引の必要性について議論しており、その結果に基づいて財務担当者が取引を実行しなければならないと結論づけています。切迫感、義務感、服従の必要性を煽り、実際に送信することが状況を打開する唯一の方法のように迫っていました。これは古典的なソーシャルエンジニアリングの手法です。
このような事案は、自社では起こり得ないと、簡単に片付けることができる問題ではありません。経営幹部による大規模な取引については必ず別の方法で確認する文化を確立しているかもしれませんが、詐欺師が自分の会社にまで手を伸ばすことはないと思い込まないようにしてください。詐欺師には高度な技術力があり、さまざまな手口を考えており、誰もが騙される恐れがあります。
さまざまなサイバーセキュリティのコミュニティは、ソーシャルエンジニアリングにディープフェイクが使用され、実際に被害が生じることを予測していました。このような詐欺が発生することは時間の問題でした。もはや、フェイク動画で使用されるロボット音声や目の細やかな動きから偽物と本物を見分けることは非常に難しくなっています。ディープフェイクは、これまでのような録画をほぼ完璧に再現できるところまで進化しています。
しかし、もう一つ忘れてはならない真実があります。それは、このような詐欺は、従業員を適切に教育していれば回避できた可能性があることです。常に立ち止まって考えること、そして、信用していても確認することが重要です。特に、通常では考えられない要求やこれまでとは異なる要求があった場合は、関連する人物に直接連絡するなどの方法で取引をチェックすることが大切です。
偽物と本物を見分けられなくなる未来が近づいています。映像、音声、テキストメッセージへの信頼が根本から失われれば、民主主義社会にも民間企業にも苦難が待ち受けています。今回のような事件を教訓として、十分な対策を講ずる必要があります。
原典:Martin Kraemer著 2024年6月13日発信 https://blog.knowbe4.com/phishing-with-deepfakes