会話型詐欺攻撃は、2022年に最も急速に増加したモバイルの脅威でした。従来のフィッシングやマルウェアを配信する攻撃とは異なり、会話型詐欺攻撃は、被害者の信頼を勝ち取るまで、一見ふつうのやりとりを繰り返しながら展開します。プルーフポイントのデータによると、会話型詐欺の攻撃は報告数が12倍に増加し、SMS、メッセージングアプリ、ソーシャルメディアなど、さまざまなプラットフォームで見られました。
会話型詐欺攻撃の増加により、一部の業種では荷物配送、なりすましメール、その他の種類の詐欺を抜いて、モバイル不正利用の中で最も件数の多いカテゴリとなりました。会話型詐欺攻撃の成長は減速する気配がなく、2023年第1四半期まで継続しています。
2022年における会話型詐欺攻撃の増加
プルーフポイントは昨年、特にPig Butchering(豚のブッタ切り)*1と呼ばれる仮想通貨詐欺に関するブログ記事で、会話型のEメール脅威の出現を取り上げました。Eメールでもモバイルメッセージでも、攻撃者と被害者の間のやりとりは、一見無害なメッセージから始まります。被害者が餌に食いつくと、攻撃者は情報、金銭、認証情報を盗む前に、一見無害なテキストを何日も、あるいは何週間もやり取りすることになります。
結局のところ、こうした攻撃はソーシャルエンジニアリングの技術を用いています。熟練した攻撃者は、ユビキタスなモバイル通信を利用して網を広げ、できる限り多くの被害者を獲得します。その意味で、会話による脅威は、インターネットが普及し始めたころの前金詐欺のようなものです。このような攻撃では、電子メールアドレスに、投資や遺産相続の解除に協力する代わりに大金を支払うというオファーがスパム送信されました。変わったのは、配信の仕組みと、約束の金塊がビットコインやイーサリアムである可能性が高いという点のみです。
※1 Pig Butchering(豚のブッタ切り)詐欺:豚を丸々と太らせてから殺す様子にたとえて、無害な会話により信頼関係を築いたのちに実害のある攻撃をしかける詐欺
口は災いの元
攻撃者がEメールやモバイルメッセージで会話の誘い文句を採用し、金銭的な動機による攻撃と国家による攻撃の両方において、この手法が有効であることを示唆しています。モバイルメッセージングは現代社会に受け入れられているため、新しいメッセージを受け取ってから数分以内に人々はそのメッセージを読む傾向があります。これがモバイルメッセージが、理想的な脅威のベクトルである理由となります。
過去1年間、「Pig Butchering(豚のブッタ切り)」と呼ばれる様々な攻撃が、被害者が失った大量の暗号通貨のために、大きな話題となりました。「Pig Butchering」という名称はもともとは中国が発祥ですが、FBIは最近、米国での被害者が急増していることを指摘しています。昨年、アメリカ人は暗号通貨詐欺で30億ドル以上を失っており、その代表格が今やPig Butchering(豚のブッタ切り)詐欺です。もちろん、ロマンス詐欺や求人詐欺など、古くからある会話型攻撃も、依然として脅威の対象です。
図:「あなたに会いにいくためにガソリン代が必要なの」とねだる内容のSMSメッセージ。
しかし、恋愛詐欺の結末として、この送金指定されたビットコインウォレットには、執筆時点で2,500ドル以上のビットコインが入金されていた
金銭的な損失だけでなく、こうした攻撃は人的な犠牲も大きくなります。Pig Butchering(豚のブッタ切り)詐欺とロマンス詐欺は、どちらも被害者の感情を揺さぶるものです。信頼を得て、それを悪用され、金銭的な損失という現実的な結果だけでなく、恥ずかしさや気恥ずかしさを感じることもあるのです。
加害者についてはどうでしょうか。多くのPig Butchering(豚のブッタ切り)詐欺業者が人身売買の被害者を利用して詐欺を働いているという証拠が増えつつあります。プルーフポイントは、実際にどのような手口が使われているのかを調査するため、複数の会話型詐欺の攻撃者と関わりました。そのうちの一人、アンディ(Andi)と名乗る女性は、徐々に自分が中国系であることを明かし、メッセージ削除ツールを使って中国語で秘密のメッセージを送り、その後英語に戻りました。その中で、彼女は、Pig Butchering(豚のブッタ切り)詐欺が盛んなカンボジアに身を置いていることを示唆しました。
もちろん、アンディの話がどこまで本当なのかはわかりませんし、多くの詐欺において同情を誘うことが不可欠な要素であることは確かです。しかし、このような攻撃の実行には多大な人的資源が必要である一方、犯行グループは人身売買や現代の人身奴隷に関与している可能性が高いと考えられます。
AIを活用したPig Butchering(豚のブッタ切り)詐欺
最近の生成AIの進歩により、会話型詐欺師が人間の助けを必要としなくなる可能性があります。ChatGPT、Bing Chat、Google Bardといったツールのリリースは、文脈を理解し、推論を表示し、説得することさえできる新しいタイプのチャットボットの到来を予感させます。さらに先には、複雑な税制や投資手段を理解するように訓練されたAIボットが、最も巧妙な被害者をも欺くために使用される可能性があるのです。
左側の写真は、一般的なPig Butchering(豚のブッタ切り)詐欺で使われている画像。
右側の画像は、この投稿のためにMidjourneyを使って生成された、似ているがユニークな画像。
本物そっくりのユニークな写真を作成できる画像生成モデルと相まって、会話型脅威の攻撃者は、近いうちにAIをフルスタックの犯罪共犯者として利用し、被害者を騙して詐取するために必要なすべてのアセットを作成するようになるかもしれません。また、AIを使って音声と映像のコンテンツを合成するディープフェイク技術の進歩により、Pig Butchering(豚のブッタ切り)がメッセージングから通話に発展し、この手法の説得力がさらに増す日が来るかもしれません。
これは大きなテーマであり、攻撃側と防御側の両方から急速に発展している脅威の領域です。