楽しい定型詩とか、変てこな肖像画、バズるくらい笑える動画。人工知能 (AI) がやってくれるのはそういったものだけではありません。ChatGPT や Bard、DALL-E、Craiyon、Voice.ai など、人気のあるいくつもの AI ツールは、暇つぶしだけでなく、学校の宿題や職場の仕事にも実に便利です。しかし、サイバー犯罪者もこうした AI ツールを悪用しており、フィッシング、ビッシング、マルウェア、ソーシャル エンジニアリングなどがまったく新しい広がりを見せています。
この記事では、詐欺に AI が使われた最近の事例と、万一にも遭遇したときに気づくための目安をいくつかまとめました。
1. AI 音声詐欺
ビッシング、つまり電話を使うフィッシングは、目新しいものではありません。しかし、AI の音声で模倣できるようになったため、最近の詐欺電話はかつてないほど説得力が増しています。アリゾナ州では、誘拐を告げる偽電話のために、ある一家が数分間とはいえパニックに陥ったことがあります。その家の母親が、娘を誘拐したと告げ身代金を要求する電話を受けたのです。電話口からは、間違いなくわが子の声が聞こえてきましたが、最終的には AI で生成された模倣であることが判明します。
娘は誘拐などされておらず、何事もなく無事でした。この家族が金銭被害を受けずに済んだのは、対処が適切だったからです。警察に電話し、詐欺師を電話口で待たせている間に娘の所在を確認しました1。
2022 年に米国では、なりすまし詐欺の被害が 26 億ドルにも達しました。驚きの数字ですが、AI 詐欺が広がればこれがさらに増える可能性もあります。マカフィーの「Beware the Artificial Imposter (AI のなりすましにご用心)」レポートによると、AI 音声詐欺に遭ったことがある、あるいは遭った人を知っているという人の割合が、世界全体ではおよそ 25% に達しているといいます。しかも、音声詐欺の被害者のうち 77% が結果的に金銭を失っているという調査結果も出ています。
違いを聞き分けるには
大切な人が窮地にある――その声を聞いたら、驚きあわてるのは無理もありません。しかし、誰かが困っているという電話を受けたときには、まずなるべく落ち着きましょう。大切な人の「声」なのかどうか、よく聞き分けてください。AI 音声の技術は驚異的ですが、まだ何らかのクセが残っているものです。音声が不自然にもたつくことはありませんか?単語の終わりが尻切れになっていませんか?特定の言葉が、自分の知っているアクセントとずれていたりしませんか?こうした微細な特徴に気づくには、冷静な判断が必要です。
AI によるビッシング詐欺を避けるために家族としてできるのは、家族の合い言葉を決めておくことです。自分たちにとって意味があれば、謎めいた言葉やフレーズでもかまいません。この合い言葉は自分たちだけが覚えておき、ソーシャル メディアなどには決して投稿しないようにします。そうすれば、詐欺師が電話をかけてきて家族の名前を名乗ったとしても、その緊急事態が偽物か本物か、合い言葉で判断できます。
2. ディープフェイクによる脅迫と偽広告
ディープフェイク、つまり元々の画像、動画、音声クリップをデジタルで不正に加工する手法は、多くの人を惑わせている AI の機能です。「百聞は一見にしかず」という古くからの格言を揺るがしています。目にするものがまったく信じられないとしたら、何を真実で何が真実でないといえるでしょうか?
FBI は、サイバー犯罪者が被害者の性的な映像をでっち上げる新たな手口について広く警告しています。その映像を投稿されたくなければ金銭またはギフト カードを送るようにと、無辜の市民を脅迫してくるのです2。
ディープフェイク技術は、偽広告を利用する事例でも中心的な役割を果たしています。ある詐欺師が作った偽広告では、金融の専門家として知られるマーティン・ルイス氏が登場して、ベンチャー投資を宣伝してきました。この Facebook 広告は、ディープフェイクで作られたルイス氏を登場させることで、悪質な行為に正当性を加えたのです3。
身代金要求や疑わしいオンライン広告への対処
脅迫による金銭等の要求に対しては、いっさい何もしないのが最善の対応です。相手は犯罪者なのですから、言われるままに身代金を支払ったとしても、偽の映像を手放す保証はありません。詐欺師からコンタクトがあったら、できるだけ速やかに法執行機関に連絡してください。問題解決の糸口になるはずです。
評価の高いソーシャル メディア プラットフォームで表示される広告であっても、広告主がまっとうな企業とは限りません。広告で見かけた会社で買い物や投資に動く前に、その会社について独自の背景調査を実施しましょう。時間は 5 分もかかりません。Better Business Bureau などのオンライン レビュー サイトで評価を調べれば、信用できる会社かどうかわかります。
ディープフェイクの動画や画像を見極めるには、不自然な陰影や照明、顔の歪み、人の手などを確かめます。違和感のある細かい点が特に見つかりやすい箇所です。AI 音声と同じように、ディープフェイク技術はたいてい高精度ですが、完璧ではありません。あるいは、マカフィーの Deepfake Detector をお使いいただければ、AI で生成された音声を、ものの数秒で判別できます。
3. AI 生成のマルウェアとフィッシング メール
コンテンツ生成ツールには、悪用されかねない文章の作成を防ぐ一定の安全機構が組み込まれています。しかし、一部の犯罪者はそうした規則をかいくぐり、ChatGPT や Bard を使ってマルウェアやフィッシングの運用に役立てています。例えば、キーロガーの機能をもつソフトウェアを作るよう ChatGPT に指示しても、これは拒否されます。ところが、表現を変えてキーストロークを記録するコードを書くよう指示すれば、言うとおりに動くことがあります。ある研究者の報告によると、コーディングの知識がほとんどない人でも ChatGPT は使えるため、マルウェアの開発はかつてなく簡単に、手軽になっているということです4。同じように、AI の文章生成ツールは説得力のあるメールを、しかもあっという間に作り上げます。理屈からいえば、これでフィッシング詐欺師の作業がスピードアップし、攻撃の範囲も広がる可能性もあります。
AI が作成するマルウェアやフィッシングの試みを回避するには
AI で生成されるマルウェアやフィッシングのメールを回避するときも、人間が書いた詐欺メールの場合と方法は変わりません。疑わしそうな文面にはとにかく気をつけ、疑ってかかりましょう。マルウェアは遠ざけ、信頼できるとわかっている Web サイトだけ利用してください。McAfee+ に含まれるマカフィーの Web 保護などのセーフ ブラウジング ツールを使えば、不審な Web サイトに近づかないようダブルチェックできます。
フィッシングに関しては、緊急の対応を迫る、あるいは尋常でないと思われるメールやメッセージを見かけたら、ただちに警戒してください。従来のフィッシング メールには、誤字や脱字、文法上の誤りが付きものでした。AI で書かれたメールは、きちんと書かれていてミスもほとんどありません。つまり、届いたメールを 1 通 1 通、念入りに調べなければならないということです。
ひと呼吸して、落ち着いて、確かめる
AI に関する規制の議論は盛んに進んでいますが、最善なのは責任をもって AI を利用することです。自分が使うときには透明性を意識しましょう。そして、AI の悪質な使い方であると疑われる場合は、いったん立ち止まり、頭をクリアにしてから目前の状況をしっかり確認しましょう。AI はかなり説得力のあるコンテンツを作れるようになりました。だからこそ、自分の直観を信じ、ここで説明したベストプラクティスに従って、お金と個人情報をサイバー犯罪者の手から守ってください。
1CNN, “‘Mom, these bad men have me’: She believes scammers cloned her daughter’s voice in a fake kidnapping”
2NBC News, “FBI warns about deepfake porn scams”
3BBC, “Martin Lewis felt ‘sick’ seeing deepfake scam ad on Facebook”
4Dark Reading, “Researcher Tricks ChatGPT Into Building Undetectable Steganoraphy Malware”
最新情報を入手する
フォローして、マカフィーに関する最新情報を取得して消費者やモバイルのセキュリティ脅威について理解しましょう
