サイバー犯罪者は、金銭を得るためにあらゆる手法を考えます。特に詐欺については太古の昔から存在していたと考えられます。そして現在、生成AIの力を得たサイバー犯罪者はさらに手口の幅を広げています。ここでは、電話を使ったボイスフィッシングの実例をご紹介します。
発端は、ある企業の海外にいる幹部の電話が鳴ったことでした。電話を見ると発信元として社長の名前が表示されていました。電話に出ると、社長の声でM&A案件を進めている。指定の口座に本日中に送金する必要があるのでよろしく頼む。極秘事項なので誰にも話すなという内容でした。
その1時間半後に、2回目の電話がありました。今度は、いつ頃に送金できそうか。弁護士からメールは届いたか。送金したらスクリーンショットを撮って送ってくれという内容でした。同時に弁護士からのメールも届いたといいます。しかし、後に分かったのはこの弁護士からのメールは差出人欄に弁護士の正規のメールアドレスが書かれてあるものの、ドメインなりすましをされたメールだったのです。つまり弁護士事務所がなりすましメール対策であるDMARCをおこなっていたかったために、差出人のメールアドレスを偽装したメールが送られていたのでした。
電話を受け取った幹部は社長が急かすことを不審に思い、弁護士に電話をかけて確認しました。それにより詐欺であることが判明したのです。その後3回目の電話がかかってきたので録音し、それを弊社に提供してくださいました。その社長が話す動画は株主総会の録画や、インタビューなどでインターネット上で確認ができますが、確かにその声は社長の声でした。幹部の方が最初に違和感を持たなかったことも頷けます。
ボイスフィッシングによるビジネス詐欺の流れ
AIにより進化する攻撃と、狙われる日本
今回は幹部の方の機転で、詐欺であることが判明したtあめ被害に遭わずに済みましたが、もしそのまま偽社長の指示に従っていたらどうなっていたか分かりません。この件では複数の手法が使われていました。まず電話番号の詐称です。海外のサービスやアンダーグラウンドのサービスを使えば、発信元の電話番号を詐称することが可能です。また、弁護士からのメールも送信元のドメインをなりすましていたものでした。そして社長の声については、AIに学習させた声であると考えられます。
生成AIは日々進化しており、一枚の写真から動画を作成することも可能になっています。またそうしたアプリの開発者によると、特徴的なサンプル文章を読み上げてもらうだけで同じ声で文章を読み上げることができるといいます。そのサンプル音声はたったの10-15秒ほどでよいのです。社長の立場であれば株主総会などで音声を取得する機会はたくさんありますから、学習させることができるわけです。
下のグラフは、2022年と2023年にそれぞれBEC(ビジネスメール詐欺)を受けた企業の割合をプルーフポイントが調査したものです。これを見ると、日本の上昇率が34.6%で最も高かったことが分かります。そして2位は韓国、3位はUAE(アラブ首長国連邦)となっており、いずれも英語圏ではないことが特徴です。つまり、生成AIによって違和感のない文章や音声を作成できるようになったので、犯罪者はこれまで難しかった英語圏以外の国も積極的に狙うようになったと考えられます。
2022年と2023年でBEC攻撃を受けた件数の比較(プルーフポイントによる調査)
新たなボイスフィッシングによるビジネス詐欺に対応するには「3つの制御」による多層防御が有効
では、今回のケースのようなフィッシングから企業を守るためにはどうすればいいでしょうか。対策には、「テクノロジーによる制御」「業務プロセスによる制御」「教育による制御」の多層対策が必要です。
フィッシング対策には多層防御が有効
テクノロジーによる制御では、高度なフィッシングや詐欺メールを検出できるEメールセキュリティにアップグレードすること。これには内部メールも検査対象にできるものが良いでしょう。
また、ドメインのなりすましを防ぐためにDMARCを「p=reject」で導入することも有効です。なりすましかどうかも一目でわかるよう正規メールにブランドロゴを表示させるBIMIもご検討ください。そしてなりすましログインを防ぐための多要素認証(特にFIDO)、アカウントの乗っ取りを検知できるアカウントテイクオーバー検知ソリューションの導入も効果が期待できます。
業務プロセスによる制御では、送金指示や取引指示に関して手順を標準化し実装することが求められます。また例外処理がおこなわれる場合は真偽を確認する手順も定義してみてはどうでしょうか。です。今回のケースのような「至急」や「内密に」といった例外処理をそもそも禁止することも効果的です。
そして教育による制御では、テクノロジーでカバーできない部分を補完するために、従業員に最新の詐欺に対するセキュリティ意識向上トレーニングを実施することも必要です。
今回のように正規の電話番号でかかってきても、声色が本人のものであっても、詐欺である可能性があることを周知させることが大事です。日本語のボイスフィッシングが日本で確認され始めています。同様の攻撃が自社にあった際に詐欺に気づくことができるか。ぜひ社内で話し合って欲しいと思います