ニセ従業員など新たな手口をふくめ、AIを悪用する詐欺をESETがまとめて指摘 どう対策すればいいのか?:北朝鮮の工作員がITフリーランサーとして潜入する例も
ESETは公式ブログで、AIの悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。
ESETは2025年3月10日(スロバキア時間)に公式ブログで、AI(人工知能)の悪用による詐欺が企業にとって新たな脅威となっている状況を解説し、「人」「プロセス」「技術」に焦点を当てた多層的な対応の必要性を指摘した。
企業におけるAIの利用は、効率化やコスト削減、顧客サービスの向上、意思決定の改善など、さまざまな分野で有益な成果をもたらしている。だが、サイバー犯罪者もAIを悪用して新手の詐欺を仕掛けており、企業にとって大きな脅威となっていると、ESETは指摘している。
最新のAIとディープフェイクの脅威
ESETは、サイバー犯罪者がAIやディープフェイクを悪用する手口の例として、以下を挙げている。
偽従業員
北朝鮮の工作員がAIツールを使って履歴書などを偽造し、採用時の身元調査をクリアして、テレワークのITフリーランサーとして企業に潜入する事例が報告されている。こうした工作員の目的は、北朝鮮政府への資金送金、データ窃盗、スパイ活動、ランサムウェア攻撃などだ。
新手のBEC(ビジネスメール詐欺)
詐欺師がディープフェイクの音声や映像を用いて企業の財務担当者をだまし、自分の管理する口座に資金を送金させる詐欺が発生している。ディープフェイクによって企業のCFO(最高財務責任者)などに成り済まし、2500万ドルを詐取した例もある。
認証回避
ディープフェイクを用いて顧客に成り済まし、アカウント作成やログイン時に認証チェックを回避する詐欺も増えている。ディープフェイク動画を生成するための素材として、顔認識データを収集するためのマルウェアも存在する。最も巧妙なものの一つが「GoldPickaxe」だ。
ディープフェイク詐欺
サイバー犯罪者がSNS上で企業のCEOや著名人に成り済まし、投資詐欺を仕掛けている。
パスワードクラッキング
AIアルゴリズムを使って顧客や従業員のパスワードを破り、データ窃盗やランサムウェア攻撃、個人情報を不正利用する事例も増加している。
書類の偽造
AIを用いて生成または改ざんされた書類が、銀行や企業での顧客確認を回避するために使われている。保険金詐欺にAIが使用される事例も多発しているとみられている。
フィッシングと偵察
AIは、サイバー攻撃の標的の偵察やソーシャルエンジニアリングを強化する目的でも使われている。これにより、ランサムウェアやデータ窃盗、フィッシング攻撃がより効率化している。
AIの脅威の影響
AIの悪用による詐欺は、最終的に財務的な損害や評判の低下という影響をもたらす。2024年春の調査では、過去1年間に詐欺によって失われた売上高の38%は、AIを用いた詐欺の被害によるものだったと推計しているとの報告もある。ESETは、AIによる詐欺は以下のような被害につながる可能性があると説明している。
顧客確認の回避
銀行などでの顧客確認を回避することで、詐欺師が顧客口座から不正に資金を引き出すことが可能になる。
偽従業員
偽従業員が機密の知的財産や規制対象の顧客情報を盗んだ場合、財務、評判、コンプライアンス上の問題になる。
BEC
1件のBECで莫大(ばくだい)な損失が発生する場合がある。サイバー犯罪者は2023年にBECで29億ドル以上を稼いだと推計されている。
なりすまし詐欺
顧客がなりすまし詐欺の被害にあうと、忠誠心が脅かされる。ある調査では回答者の3分の1が、企業との取引の中で一度でも悪い経験をした場合、そのブランドから離れると答えている。
AIの悪用による詐欺への対策
ESETは、AIの悪用による詐欺に対抗するには、「人」「プロセス」「技術」に焦点を当てた以下のような多層的な対応が必要だと述べている。
- 頻繁な詐欺リスク評価
- AIに対応した詐欺防止ポリシーの更新
- 従業員に対する包括的なトレーニングと意識向上プログラム
- 顧客に対する教育プログラム
- 重要な企業アカウントや顧客を対象とした多要素認証(MFA)の導入
- 従業員の身元調査の強化
- 採用前の動画面接の徹底
- 人事部門とサイバーセキュリティチームの連携強化
またESETは、AIの悪用による詐欺への対策に、AI技術を以下のように役立てることもできると述べている。
- ディープフェイクを検出するAIツールを活用する
- 機械学習アルゴリズムにより、スタッフや顧客データにおける不審な挙動パターンを検出する
- 生成AIが生成した合成データを、新しい不正検出モデルの開発、テスト、トレーニングに利用する
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
2025年、LLMの脆弱性が明確になるなど、セキュリティとクラウドに関する8つの変化
Akamaiは、セキュリティとクラウドに関するトレンドの予測を発表した。企業のAI導入は2025年に大きな転換点を迎え、AIによるセキュリティとクラウドの強化と最適化がより一層進むとしている。
「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
EGセキュアソリューションズは、2025年のサイバー脅威予測を発表した。生成AIを悪用した攻撃が増えると予測する一方で、企業側で新しいセキュリティ技術への対応が進むことで、一部の被害は軽減する可能性があるとしている。
AIセキュリティ戦略に欠かせない「MLSecOps」のベストプラクティスを解説
TechTargetは、「MLSecOps」に関する記事を公開した。MLSecOpsのベストプラクティスに従うことで、セキュリティに考慮したAI開発が可能になる。