カジノサイト
偽の顔、実際の損害: AI を利用した操作による企業リスク
セキュリティ専門家は、新たな現実に急速に直面しています。人工知能 (AI) とビッグデータは、生産性と業務運営を向上させる優れたツールであると同時に、幅広い脅威グループによる高度な攻撃に対する障壁を同様に下げています。敵対的な国民国家から、問題を動機とするグループ、サイバー犯罪者に至るまで、これらのテクノロジーにより、よりパーソナライズされ、拡張性が高く、検出が困難な攻撃が可能になっています。
ソーシャル メディアに投稿した内容から、デバイスとオンライン活動の両方からデータ ブローカーによって収集された情報の大規模な再販に至るまで、私たちの個人データが広く利用可能になったことにより、オープンソース データが非常に効果的なデータを実現するための重要な要素となっていますAI による欺瞞混乱が生じ、ディープフェイクの作成が可能になりました。
データの収集方法
公的に共有されているソーシャル メディアやオンライン データがどのように収集されるかを理解するのは簡単ですが、多くの人は、携帯電話やスマートウォッチなどの多くのポータブル デバイスが次のようなアプリケーションを実行していることに気づいていません。当社の個人データを国際データブローカーに送信します。この規模は非常に大きく、推定 4,000 社のデータ ブローカー会社がすべて 1 つの組織内で競合しています。2025 年には 2,942 億 7000 万ドルに達し、2030 年までに 4197 億 2000 万ドルに拡大すると予測されています。
これらのブローカーは複数の情報源から情報を編集し、比較的低価格で販売しています。たとえば、一部のアプリはユーザーの位置情報を 15 分ごとに送信します。ハッキングや漏洩したデータベースの増加など、他のビッグ データ ソースと組み合わせると、この情報を使用して、個人がどこに住んで働いているか、どこに子供が通っているか、その他の非常に個人的な洞察など、詳細な生活パターンを構築することができます。
現在では、光沢のあるウェブサイト、LinkedIn 上の従業員、ソーシャル メディアでの強力な存在感を背景とした偽の人材紹介会社を設立するのが比較的簡単です。この戦略は、豊富な職業情報や個人情報を含む詳細な履歴書を収集するために、寛大な求人がある個人をターゲットにするために使用できます。これらの偽の企業はまた、有料のアンケートのオファーをしたり、同僚が夢の仕事に就くのを助けるための参考資料を求めたりします。これは、後の標的型攻撃に備えて追加データを収集することを目的としたオファーやリクエストです。
AI を活用した欺瞞の実行
2024 年初頭、財務担当社員が Zoom 会議に参加した後、知らずに 2,500 万ドルを送金しました。この会議では、会社の CFO を含む他の参加者全員が AI によって生成されたディープフェイクでした。
残念なことに、ティーンエイジャーや成人を悪用するためにディープフェイク技術が使用されているのも目撃されています。偽のプロフィールや AI で生成されたビデオは、個人に親密な画像の共有を強要するために使用され、その後セクストーションに使用されます。悲しいことに、これが世界中で多数の自殺を引き起こしています。
犯罪者はまた、ソーシャル メディアの写真やディープフェイク ソフトウェアを使用して、本物の個人が出演しているように見える偽の露骨なコンテンツを作成しています。これらの偽のビデオや画像は、脅迫、脅迫、または復讐のために使用されます。これらの動機は、教師、警察官、政治家などのデリケートな職業の人々や、保守的なコミュニティの人々に対して特に効果的であることが証明されています。
職場への侵入にディープフェイク、AI、オープンソース データが使用されているのを私たちは目撃してきました。 2023年、米国国務省は、偵察総局と関係のある北朝鮮工作員が西側のハイテク企業や仮想通貨企業で遠隔地の仕事を確保しているとの勧告を出した。 GitHub や LinkedIn などのオープンソース プラットフォームを使用して、実際のアイデンティティをスクレイピングし、生成 AI を利用して、リモートの採用面接に合格するための合成音声とビデオ アバターを作成しました。これらのディープフェイクは頻繁にバックグラウンド チェックを通過し、工作員がソース コードを盗み出し、マルウェアを展開し、知的財産を盗むことを可能にしました。
公の場ではない企業環境で、考えられるいくつかのシナリオが進行中です。これらには、オープンソース データをソーシャル エンジニアリング情報および AI と組み合わせて、標的を絞ったフィッシング メールを作成する、AI 強化フィッシングが含まれます。
この現実世界からインスピレーションを得たシナリオを考えてみましょう。次のようなメールが届きます:
「こんにちは、隣のクリスです。猫をぶつけて大怪我をしたところですが、おそらくクレオだと思います。写真を添付しました。彼女かどうか確認していただけますか?」
当然、パニックになってクリックしてしまいます。
細部が本物であるため、本物のように感じられます。
- あなたの隣人の名前は地元の Facebook グループから来ました。
- あなたのペットの名前がインスタグラムの投稿で見つかりました。
- 写真にはクレオに似た猫が写っており、街路の背景は Google マップから AI で生成され、郊外の画像が表示されています。
Cleo ではなくて安心しましたが、その一方で、マルウェアがあなたのデバイス、そして場合によっては企業ネットワークに静かに感染します。あなたは昼食時にその恐怖について話しましたが、同僚の誰もセキュリティ チームに報告しませんでした。なぜ?なぜなら、従業員は、感情操作や非常に現実的なフィッシング攻撃ではなく、スペルミスや不審な電子メール アドレスを探すように訓練されているからです。
内部脅威ツールとしてのディープフェイク
不満を持った内部関係者や問題を動機とするグループが AI を利用して、従業員が有害な行為をしているように見える偽のビデオや音声録音を作成できるようになりました。これらには次のものが含まれます:
- 職場での差別的またはいじめ的な会話における従業員の音声
- 雇用主の価値観に反する抗議活動に参加している従業員を写した写真
- 従業員がプライベートなイベントで薬物を使用したり暴力行為をしたりする動画
企業調査員にはそのような「証拠」の信憑性を問う能力があるだろうか?音声のクローン、偽の画像、リアルなビデオを生成するツールは現在、低コストで広く入手可能であり、高度な技術スキルは必要ありません。
企業のセキュリティ チームは何ができるでしょうか?
防衛またはサイバーに携わる企業は、国内および地方の脅威アクターを注意深く監視しますが、セクターに関係なく、多様化する脅威ベクトルとアクターから保護するために一定の措置を講じる必要があり、また講じることができることが重要です。
ディープフェイクの検出。特定のツールは、捜査官がディープフェイク技術を使用して証拠が作成された可能性を検証するのに役立ちますが、これらは完璧ではなく、開発を続けています。信頼できる情報を使用して重要な情報を確実に検証することが重要です。たとえば、捜査官は、アクセス制御データを通じて特定の個人が物理的に職場にいたことを確認したり、会社のサイバー ログを使用して個人がいつどこでログオンしたかを確認したりできます。
捜査官はすでに一連の証拠の重要性を認識していますが、ディープフェイクではこれが重要になります。録音または写真がどこでどのように撮影されたかを特定することは、その信憑性を判断する上で重要な要素となります。
内部調査チームは、重要な証拠が偽造されている可能性を反映し、追加のチェックと確認が必須であることを保証するために調査ポリシーと手順を更新する必要があります。
従業員のトレーニング。従来のセキュリティ意識向上トレーニングではもはや十分ではありません。すべてのスタッフのトレーニングは以下をカバーする必要があります:
- 感情操作や緊急のコミュニケーションに対する認識
- ハイパーターゲット型フィッシングメール
- ディープフェイク - 音声、写真、ビデオ、オンライン会議を含む
従業員は次のことを行う必要があります:
- 信頼できるチャネルを通じて、たとえ上級人物からであっても、異常または緊急の要求を確認します。信頼できるチャネルは、外部関係者がアクセスするのが難しいシステムおよびアプリケーションである必要があります。例としては、社内コラボレーション システムやワークフロー ツールがあります。
- 個人的なメールであっても、奇妙なコンテンツや異常なコンテンツを報告してください。
- オンラインで共有する内容を制限し、ソーシャル メディアに強力なプライバシー設定を実装します。
対象となるスタッフとの協力。主要なスタッフ (経営幹部、エグゼクティブアシスタント、財務、IT、人事など) は、内部統制への重点を含む、最新の標準業務手順と検証方法を必要としています。
- 財政上の保護措置。新たな脅威に対応するために手順とポリシーを更新します。 2 つの例としては、信頼できる電話番号を使用して既知のアカウント マネージャーを通じて受取人の詳細の変更を確認することと、高額の支払いに 2 要素確認を要求することが挙げられます。
- デバイスのセキュリティ。企業のデバイスでは、強力なパスワード、自動ロック、暗号化、多要素認証を強制し、ジオタグや広告追跡を無効にする必要があります。リスクの高いアプリは禁止されるべきです。
- リモート雇用。完全なリモートワーカーは強化された審査を受け、認証が完了するまでアクセスが制限される必要があります。
- 危機計画。危機管理計画には、主要幹部によるディープフェイク動画、写真、または音声の公開に対する検討と対応が含まれるべきです。正しい情報で迅速に対応し、潜在的な株式市場への影響や風評被害を最小限に抑える方法を検討してください。
AI とビッグデータは今後も定着し、信じられないほどのメリットをもたらします。しかし、これらの進歩に伴い、新たな進化する脅威も生じています。セキュリティの専門家として、私たちは人々の安全を守り、信頼を維持するためにトレーニングを継続的に更新し、手順を適応させ、最新の制御を開発する必要があります。
CPP のニック・デ・ボンは、タレス オーストラリアおよびニュージーランドの最高セキュリティ責任者です。この役割において、デ ボントは企業セキュリティ チームを率い、航空宇宙、防衛、デジタル ID、通信、サイバーセキュリティに及ぶ何百もの複雑かつ機密プロジェクトの国家安全保障を監督します。以前は Commonwealth Bank Group で勤務し、13 か国、50,000 人の従業員、1,200 の事業所のセキュリティを担当していました。
