AIによる "なりすまし "から安全なオフィスは存在しないことを証明する5つの事件。
ケーススタディ1:$25Mアラップの大惨事
会社 アラップ(シドニー・オペラハウスを手がけた世界的エンジニアリング会社)
失った: $2560万ドル
方法だ: 深化したCFOとスタッフとの複数人ビデオ会議
日付 2024年初頭
セキュリティの専門家たちは、これはこれまでに起きた中で最も洗練された企業のディープフェイク攻撃のひとつだと呼んでいる。香港で、アラップの社員が、英国に拠点を置く同社のCFOや他の同僚との日常的なビデオ通話に参加した。会議は合法的に行われ、参加者は本物の幹部とまったく同じように見え、同じように聞こえた。
通話中、この従業員は5つの異なる銀行口座に15件、総額1TP7億2,000万香港ドルの取引を実行するよう指示された。
もうAI詐欺を心配する必要はない。 TruthScan あなたを助けることができる:
- AIが生成したものを検出する 画像、テキスト、音声、ビデオ。
- 避ける AIによる大規模な詐欺
- 最も大切なものを守る 繊細 企業資産。
本社に確認して初めて、その社員はビデオ通話の相手が全員、AIが生成したディープフェイクだったことに気づいた。
これは単純な音声クローンや静止画像ではなかった。詐欺師たちは、複数の経営幹部のリアルタイムでインタラクティブなビデオを同時に作成し、企業サイバー犯罪の新たな進化を示す複雑なレベルを作り出していた。
「世界中の他の多くの企業と同様に、私たちの業務も、請求書詐欺、フィッシング詐欺、WhatsAppの音声なりすまし、ディープフェイクなど、定期的な攻撃を受けています。私たちが見てきたのは、こうした攻撃の数と巧妙さがここ数カ月で急激に増加しているということです」。 ロブ・グレイグ、アラップCIO
ケーススタディ2:フェラーリの$4000万問題
会社 フェラーリ
ターゲット CEOベネデット・ヴィーニャ
失点未遂: 非公開(噂では数百万ドル)
方法だ: 南イタリア訛りのディープフェイクAIボイス
日付 2024年7月
成果だ: 防止
フェラーリの幹部たちはWhatsAppを通じて、CEOのベネデット・ヴィーニャからのものと思われるメッセージを、彼のプロフィール写真と会社のブランド名とともに受け取った。そのメッセージは、近々行われる大型買収について語り、機密の財務情報を直ちに共有するよう迫っていた。フォローアップの電話では、ディープフェイクはヴィーニャの南イタリア訛りまでコピーした。
幸運なことに、ある幹部が不審に思い始め、簡単な質問をした。『先週、あなたが私に勧めてくれた本のタイトルは何でしたか?
時には、最も洗練されたテクノロジーが、最も単純な人間のプロトコルによって打ち負かされることもある。フェラーリの危機一髪は、現代のディープフェイクのクオリティと、個人的な検証方法のパワーの両方を実証している。
ケーススタディ3:WPPのMicrosoft Teamsの罠
会社 WPP(世界最大の広告グループ)
ターゲット マーク・リードCEO
方法だ: WhatsAppアカウント + ボイスクローンとYouTube映像によるチームミーティング
日付:2024年5月
成果だ: 防止
サイバー犯罪者は、公開されているWPPのマーク・リードCEOの写真を使って偽のWhatsAppアカウントを開設した。そして、このアカウントを使って、別の上級幹部とのMicrosoft Teamsミーティングのスケジュールを立て、「新規事業」のための当面の資金調達と個人情報へのアクセスを求めた。
ビデオ通話の間、詐欺師は音声クローン技術とYouTubeの録画映像を組み合わせて、リードになりすました。
マーク・リードCEOの反応 「幸いにも、攻撃者は成功しなかった。電子メールにとどまらず、バーチャル・ミーティング、AI、ディープフェイクを利用したテクニックに警戒する必要がある。"
WPPの事件は、大きなメディアで存在感を示す経営幹部がいかに脆弱であるかを示している。彼らの写真や動画が大量に公開されているため、犯罪者はディープフェイクを作成するための完璧な材料を得ることができる。
ケーススタディ4:バイナンスの「AIホログラム」スキーム
会社 バイナンス(世界最大の暗号通貨プラットフォーム)
ターゲット パトリック・ヒルマン 最高コミュニケーション責任者
方法だ: テレビのインタビュー映像を使ったビデオ会議「ホログラム
日付 2022年(初期の主要ケース)
成果だ: 複数の暗号プロジェクトが騙される
洗練されたハッカーたちは、ヒルマンがテレビやニュースに出演した際のクリップを使い、「AIホログラム」と呼ばれるものを作り上げた。このディープフェイクは非常に説得力があり、ズームコールの際に複数の暗号担当者を欺くことに成功した。
犯罪者はこの技術を使い、バイナンスの上場を求めるプロジェクト会議でヒルマンになりすました。これらは暗号業界で最も価値のある推薦の一つである。
ヒルマンによれば "...COVIDの間に太った15ポンドが目立っていないことを除けば、このディープフェイクは非常に知的な暗号コミュニティのメンバー数人を騙すのに十分洗練されていた。"
バイナンスの事件は、犯罪者が単純な声だけのクローンから、特定のビジネス・プロセスをターゲットにした高度なビデオによるなりすましへと移行しつつあることをいち早く警告するものだった。
ケーススタディ5:LastPassの社内モーニングコール
会社 LastPass (サイバーセキュリティ/パスワード管理)
ターゲットCEO(最高経営責任者
方法だ: WhatsAppの通話、メール、ボイスメールのなりすまし
日付 2024年初頭
成果だ: 防止
ディープフェイク詐欺師は、WhatsApp上でLastPassを標的にし(電話、テキスト、ボイスメールを残す)、同社のCEOを装って説得力を持たせた。
ターゲットにされた従業員は、いくつかの赤信号に気づいた:
- 連絡は通常の営業時間外に行われた;
- その要求には異常な緊急性があった(よくある詐欺の手口);
- そのチャンネルとアプローチは、会社の標準的なコミュニケーション・プロトコルから逸脱していた。
もしサイバーセキュリティの専門家がうまく標的にされるのであれば、どの組織も彼らが脆弱であることを想定しなければならない。
事件の背後にあるパターン
これらの検証された事件を分析すると、一貫した犯行手口が浮かび上がってくる:
エグゼクティブの脆弱性プロファイル
研究によると、ある種のエグゼクティブの特徴がディープフェイクの標的リスクを高めるという:
- メディアへの露出(TVインタビュー、ポッドキャスト、カンファレンス)
- スピーチ映像がオンラインで視聴可能
- 財務認可権限
- 国境を越えた事業展開
- 業界で注目されるポジション
地理的ホットスポット
- 香港(金融ハブ、規制の複雑さ)
- 北米(デジタル普及率が高く、経済規模が大きい)
- 欧州(GDPR対応で検証の課題が発生)
ヒューマン・ファクター
技術的に洗練されていても、多くの攻撃は人間の基本的な心理に依存している:
- 権威バイアス(目上の人からの命令)
- 緊急のプレッシャー(人為的な時間的制約)
- 守秘義務に関するアピール(特別アクセス、インサイダー情報)
- 社会的証明(複数の「同僚」が存在する)
これらの攻撃を生き延びたエグゼクティブには、健全な懐疑心、検証プロトコル、潜在的脅威に関するチームコミュニケーションといった共通の特徴がある。
フェラーリの例が証明しているように、単純な質問が100万ドルの技術を打ち負かすこともある。
参考文献
CNN(2024年2月4日) - "ディープフェイクの「最高財務責任者」とのビデオ通話後、財務職員が$2500万円を支払う"
フォーチュン(2024年5月17日) - シドニー・オペラハウスを設計した英国設計事務所を騙った "CFO "の偽物が$2500万ドルの詐欺を働いた。
ガーディアン紙 - アラップの攻撃に関するロブ・グレイグの言葉
MITスローン・マネジメント・レビュー(2025年1月27日号) - "フェラーリはいかにしてディープフェイクCEOにブレーキをかけたか"
ガーディアン紙(2024年5月) - WPPのマーク・リードCEO、ディープフェイクを試みる
インコードブログ(2024年12月20日) - "2024年からのAIディープフェイク詐欺のトップ5事例が暴露される"
バイナンス・ブログ - 詐欺師が私のAIホログラムを作り、無防備なプロジェクトで詐欺を働く」 パトリック・ヒルマン著
ユーロニュース(2022年8月24日) - "バイナンス幹部、詐欺師が自身のディープフェイク「ホログラム」を作成したと語る"
エフツールUS - "7つのディープフェイク攻撃事例:ディープフェイクCEO詐欺" - LastPass事件