サイバー犯罪には、新しいテクノロジーがすぐに導入されます。なかでも最も憂慮すべきトレンドの一つが、ディープフェイクの増加です。これは、AI(人工知能)の助けを借りて生成された画像、音声、動画であり、少なくとも人間の目には本物にしか見えません。AI生成用ツールが広く普及し誰でも利用できるようになったため、この問題はますます複雑化しました。さらにそれらが改良され、アップデートされるたびに、AIテクノロジーはどんどん(驚くほど)精巧になっており、本物そっくりの画像や音声を作成できます。
ディープフェイクは、報復、金融詐欺、政治的操作、ハラスメントなど、さまざまな目的で使用されます。テクノロジーによって常に人と人がつながる現代社会において、詐欺師が標的とする人物の画像や動画を集めるのも簡単です。有名人ならなおさらです。
現代のサイバー犯罪者は、専門領域に特化する傾向にあります。なぜかというと、高品質なディープフェイクの作成には、技術的な専門知識と高度なソフトウェアが必要だからです。そこで登場したのがアンダーグラウンドのさまざまな専門家やサービスです。現在、フェイクの動画や画像を作成しようとする人は、専門家に相談しています。その専門家はどこで見つけるのでしょうか?お察しのとおりダークウェブです。
当社は、デジタルエスノグラフィーの調査方法、つまりサイバー犯罪者がオンラインで活動する場であるダークネットフォーラムにそのまま飛び込む方法で、このアンダーグラウンド市場を調査することにしました。ダークウェブ分析で使用する主要なツールは、当社のKaspersky Digital Footprint Intelligenceサービスです。これは、表層ウェブ、ディープウェブ、ダークウェブの自動/手動分析と組み合わされたOSINT技術と、サイバー犯罪者の技術とその目的に関するインサイトを提供する当社専門家のノウハウを活用します。ディープフェイクの作成に関連する情報は、アンダーグラウンドフォーラムで調査しました。この危険性の現状を把握するために、今年出されたディープフェイクのオファーに的を絞り、さらにディープフェイク作成サービスの最も顕著な例を手作業で集めました。
ダークネットのディープフェイク市場:需要と供給
調査では、ディープフェイクの需要が高いことがわかりました。これは供給をはるかに上回っています。フェイク動画の作成を請け負う人は引っ張りだこです。これは、私たちのような一般の人にとってとても物騒な話です。言うまでもなく需要は供給を生むからです。したがって、近い将来質の高いディープフェイクが問題となるケースが大幅に増加することが予想されます。
また、ダークウェブフォーラムの投稿の内容から判断すると、サイバー犯罪者は「質の高さ」を最も重視しています。ディープフェイク作成ツールは誰でも利用できるとはいえ、犯罪者が求めているのは、完璧な音声を付け、動画と音声にずれがない高品質な動画を制作できる作成者だけです。
ディープフェイク制作者の求人広告のうちほとんどが、仮想通貨詐欺に関連したものです。通常は、仮想通貨プレゼント詐欺につながるものばかりですが、時にはもっと奇妙な広告もあります。たとえば、仮想通貨取引所であるBinance(バイナンス)の顔認証による本人確認システムの回避に使用できる高品質なディープフェイク動画を作成できるプロを求める広告も確認しました。つまり、サイバー犯罪者は、ディープフェイクを使用して生体認証セキュリティシステムを回避し、被害者のアカウントにアクセスして直接お金を盗もうとしているのです。
一方の供給のほうはどうでしょうか。ディープフェイクを新たに作成したり既製のものを購入したりするコストは、プロジェクトの複雑さと最終製品の品質によって変わります。なりすましの標的の注目度によっても、価格は変わります(セレブや政治家がこれにあたります)。ディープフェイク動画の1分あたりの価格は300~20,000ドルです。購入側がそれなりの額を支払う用意があれば、ディープフェイクの作成者は、本物の動画と見分けがつかないほどリアルで、感情まで伝わってくるような動画を提供できます。では先ほど述べた顕著な例をご紹介しましょう。
ヴィタリック・ブテリン(Vitalik Buterin)氏のなりすまし
私たちは、Etheriumの共同創設者であるヴィタリック・ブテリン氏の高品質なディープフェイク(完全合成された音声と動画)を作成するプレミアムサービスを提供するサプライヤーを発見しました。「ヴィタリックがあなたの思い描くとおりに動きます」と掲げていることから、既存の動画の吹き替えにとどまらない本格的な作成サービスであることは明白でした。このサービスでは、動画作成に必要な時間はだいたい2週間以内、最終製品は英語の動画で、費用は1分あたり20,000ドルでした。
仮想通貨詐欺の配信
仮想通貨詐欺用に最高品質のディープフェイクを作成できると豪語するプロバイダーもいます。そのサービスには、「仮想通貨詐欺生配信」または「偽の仮想通貨プレゼント」の作成が含まれています。これは、偽の仮想通貨プレゼントの番組を配信し、送金した仮想通貨を2倍にして返すと約束することで仮想通貨を集めるよくある詐欺です。このようなディープフェイクを作成するために、詐欺師は通常、セレブの映像を使用して、偽の生配信をSNSで展開します。プロバイダーは事前に生成したページも表示しており、そこでは、支払った額を倍にすると約束して、2500~100万XRP程度を入金するように依頼しています。その結果、被害者は、1000~460,000ドルを失う可能性があります。
フェイクポルノ動画
ディープフェイク制作業界から枝分かれしたのが、偽ポルノ制作です。通常、偽ポルノは、顔を入れ替えただけの単なる普通のポルノ動画です。作られる理由はさまざまで、ただの娯楽目的という場合もありますが、オンラインハラスメントやネットいじめ、恐喝などはるかに邪悪な目的に使用されることもあります。
また、一部のディープフェイク作成者は、このようなフェイクポルノ動画の作成方法に関するチュートリアルを作成しており、ソース素材の選び方や顔を入れ替えて真実味のあるフェイクを作成する方法に関するアドバイスも含めています。
起こり得る結末
犯罪目的のディープフェイクは、私たちの生活にさまざまな影響を与えます。それは個人、企業、社会全体にとって深刻な脅威です。ネット上の話やニュース記事がどれもディープフェイクの可能性があるという事実は、公開される情報に対する不信感を植え付け、被害妄想や不安感を引き起こします。ディープフェイクの使用がもたらしうる結果をいくつか挙げましょう。
偽情報
ディープフェイクは、うその情報を拡散したり世論を操ったりするためにも使用できます。フェイクニュース、政治的なプロパガンダ、誤解を与えるような広告の作成にも使用できます。これは、社会的な信頼に深刻な結果を招く可能性があります。
例:ディープフェイク使用で最も害がない例の1つが、ウェブで広まったグレートカスケード地震の報道記事でした。非常にリアリティがある証拠写真を含んでいましたが、これは現実には起きていない出来事でした。一方、はるかに危険な例もあります。これは、奇妙なことに、ディープフェイクの使用自体ではなく、ディープフェイクが使われたのではという単なる疑惑がもたらした2018年ガボンの例です。当時、ガボンのアリ・ボンゴ大統領が重病だといううわさがありました。それに応えて、ガボン政府は、動画を公開しましたが、これがディープフェイクと疑われ、さらなる緊張を招き、政府は何かを隠しているという疑惑を増大させました。この思い込みが、1週間後に起きたクーデター未遂の理由の1つに挙げられました。
サイバー詐欺
ディープフェイクは、前述の仮想通貨プレゼント詐欺からビジネスにおける標的型攻撃にいたるものまで、あらゆるタイプのサイバー詐欺に使用されます。
例:人工的に作成されたイーロン・マスク氏が、仮想通貨投資スキームで高利回りが得られると約束するフェイク動画が2022年に拡散されました。結果、複数のユーザーが全財産を失う結果になりました。2019年には、英国大手エネルギー企業のCEOの本物そっくりのディープフェイク音声が作成されました。詐欺師は、同社の上級幹部をだまして220,000ユーロ(243,000ドル)をハンガリーのサプライヤーに送金させました。幹部は、CEOの指示に従っていると信じていましたが、実際、録音は偽物でした。
評判の損害とプライバシー侵害
ディープフェイクは、個人または組織の評判を損害する目的でも使用できます。たとえば、ある人が違法または不道徳な行為に関わっているようなディープフェイク動画を作ることができます。これは、イメージ悪化や個人の評判の損害につながる可能性があります。
例:女優スカーレット・ヨハンソンさんのディープフェイク動画がネット上に拡散されました。これは露骨なシーンの動画でポルノ女優の体にヨハンソン氏の顔をはめこんだものでした。実はこれは、2011年初めに流出したプライベート写真を使って作成されたディープフェイク動画でした。ヨハンソン氏の代理人はこれを、ヨハンソン氏の権利に対する「重大な侵害」として、動画を削除するための法的な選択肢を本人が検討していると述べました。前述のエネルギー企業のCEOの事例でも、従業員がだまされて送金したという事実により、著しい評判の損害をもたらしました。詐欺のニュースが広がったことで、顧客からは、企業がデータや財務情報をきちんと守る能力を持っているのかを疑問視する声があがりました。
なりすまし
冒頭で、生体認証を回避する手段を探すダークウェブ広告について触れました。すべてのサービスが顔認証による本人確認システムを採用しているわけではありませんが、ディープフェイクは通常の顧客サポートサービスでも利用できます。その方法は次の通りです。まず、サイバー犯罪者は、標的とするアカウントの所有者の個人情報(名前、住所、電話番号など)を入手します。次に決済サービスプロバイダーに連絡して、アカウント所有者を名乗り、アカウントにアクセスできなくなった、または技術的な問題があると伝えます。本人確認のため、決済サービスプロバイダーは、アカウント所有者が特定のアクションを行う動画または音声記録を要求するとします。そこで詐欺師は、収集したデータを使って、要求されたアクションを本物のアカウント所有者が実行しているように見せかけるディープフェイク動画または音声を作成します。その結果、決済サービスプロバイダーがだまされて、アカウントとそれに関連付けられた資金へのアクセスをその詐欺師に許可してしまう可能性があります。
だまされないためには
単に「自分の目や耳を二度と信じるな」と言ってしまいたいところですが、現実的なアドバイスではありません。ディープフェイクの作成を援助する人工知能テクノロジーは、本物の動画、写真、音声とフェイクを見分けるためにも使用することができます。そして、この種のツールが徐々に市場に出回るようになってきています。近い将来、メディア、メッセンジャーそしてさらにはブラウザーにもそのようなテクノロジーが組み込まれることを願いましょう。
ビジネス向けには、もっと実用的なアドバイスがあります。従業員や顧客に対する特定のディープフェイク攻撃は、当社のKaspersky Digital Footprint Intelligenceを活用し、ダークウェブでのサイバー犯罪者の行動が自社に与える影響を把握することで、ある程度予測できます。Kaspersky Digital Footprint Intelligenceはさまざまな情報を提供しますが、なかでも特に資産を脅かすような世界のセキュリティイベントについてほぼリアルタイムの情報を提供できます。また、アンダーグラウンドの限られたコミュニティやフォーラムで公開された機密データを追跡できます。このサービスの詳細については、こちらをご覧ください。