BlackBerryのリサーチャーにより、ソーシャルエンジニアリング攻撃においてディープフェイクが強力な手段として、これまでに増して、悪用されていることが明らかになりました。
同社のリサーチャーは次のように説明しています。
「通常オンライン詐欺では、標的ユーザーの脆弱な部分や感受性に付け入ろうとします。過去数十年間、サイバー攻撃者はマルスパム(マルウェアを含むスパム)のように広範囲のユーザーを標的にしていましたが、デジタルトレンドの進化に伴い、サイバー攻撃者の戦術や手法も進化しています。ディープフェイクは非常に安価に作成できるようになり、特定の個人を狙った標的型の攻撃が可能になっていることから、ソーシャルエンジニアリング攻撃の転換点になる可能性があります。」
BlackBerryのリサーチャーは、今年初めに発生した具体的な事例について述べており、この事例では、サイバー攻撃者がディープフェイクを使用して従業員を騙し、2,500万ドルを送金させています。
BlackBerryのリサーチャーは次のように述べています。
「2024年2月、ある多国籍企業の財務担当者がディープフェイクを用いて同社の最高財務責任者(CFO)になりすましたサイバー攻撃者に騙され、2,500万ドルを支払いました。香港警察によると、被害に遭った従業員は、実際の従業員だと思っていた人物たちとのビデオ会議に参加していましたが、実際には全員がディープフェイクでした。この従業員は、機密取引の実行を求めるメッセージが同社のCFOから送られてきた際、最初は疑念を抱いていました。しかし、ビデオ通話の出席者が自分が知っている従業員に見えたため、その疑念を払拭しました。」
新しいスタイルの先進的なセキュリティ意識向上トレーニングは、進化するソーシャルエンジニアリング攻撃に対する組織の重要な防御層になります。
BlackBerryのリサーチャーは次のようにまとめています。
「最も効果的な対策の一つは、従業員のセキュリティ意識の向上と教育です。企業や組織は強固なトレーニングプログラムを導入し、ディープフェイクの脅威やその悪用方法、見分け方、疑わしい場合の対処法、企業や組織が標的となった場合のリスクについて従業員を教育する必要があります。このような教育は、ディープフェイクによる攻撃対象を縮小する上で大いに役立ちます。(中略)営業、財務、人事部門の従業員は、特に顧客を装ったサイバー攻撃者による機密情報や財務情報の不正アクセスに警戒する必要があります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、BlackBerryの記事を参照してください。
原典:Stu Sjouwerman著 2024年9月4日発信 https://blog.knowbe4.com/threat-actors-increasingly-exploit-deepfakes-for-social-engineering