筆者は音声を使ったなりすましに関する実験を行った。実験に使用された音声クローン技術の品質があまりにも高く、AIは社会に混乱をもたらす可能性を秘めているという点で、我々は運命の岐路に立たされていると言えるだろう。実験に参加した同僚のやり方はユニークであったが、なりすました音声は極めて巧妙であった。そこで事前の同意を得て、同じソフトウェアを悪意のある目的で使用し、中小企業から金銭を詐取できるかどうかを検証することにした。結果的には、詐欺を実行するのは極めて容易で、ほとんど時間もかからなかった。

AIの概念は、ターミネーターやブレードランナーといったSF映画でよく知られていたが、AI技術が生み出す無限の可能性には懐疑的な人もいた。しかし、膨大なデータベースやコンピューティング性能、さらにはメディアの報道により、良くも悪くもAIが世界中から注目されるようになった。AIの普及に伴い、その技術が悪用され巧妙な攻撃が仕掛けられる可能性は極めて高いだろう。

音声クローン技術の悪用

筆者は以前、警察の仕事に関わっていたため、犯罪者の立場に立って考える習慣が染みついている。実際には犯罪に手を染めずとも、犯罪者のように考えて振る舞うことで、身を守る方法を見つけられるようになる。この習慣は最新の脅威だけでなく、今後の犯罪トレンドを予測する上で欠かせない。

AIの能力を検証するため、筆者はデジタル犯罪者になったつもりで、倫理面に配慮しながら企業へ攻撃を仕掛ける実験を行った。

筆者は友人に連絡し、クローン化した声を使って友人が経営する会社に攻撃を仕掛けてよいかを尋ねてみた。その友人をここではハリーと呼ぶことにしよう。ハリーは、ソフトウェアで声をクローン化する実験に協力してくれた。ハリーは会社の宣伝用にYouTubeチャンネルを頻繁に投稿していたため、実際の音声を入手するのは簡単だった。いくつかの動画をつなぎ合わせてテスト用の音声を作成したところ、ハリーにそっくりな声のクローンが数分で完成した。さらに指定した言葉は、何でもハリーの声で再生できるようになった。

さらに許可を得た上で、SIMスワップ攻撃を使いハリーのWhatsApp（メッセージングアプリ）アカウントを乗っ取り、攻撃の信憑性を高めることにした。WhatsAppアカウントからハリーの会社の財務部長へ音声メッセージを送信した。仮に財務責任者はサリーと呼ぶとしよう。早速、サリーに対して「新規の請負業者」へ250ポンド（50,000円相当）の支払いを指示するメッセージを送ってみた。攻撃時、ハリーは近郊の島へビジネスランチに出かけていることを知っていたため、絶好の機会であった。

音声メッセージでは、ハリーの居所とともに「フロアプランの担当者」に送金するよう伝え、すぐに口座情報をテキストで別送すると伝えた。これはサリーのWhatsApp画面上で音声メッセージの内容を証明し、指示が本物であると信じ込ませるためでもあった。最初のメッセージを送信してからわずか16分で、筆者の個人口座に250ポンドが振り込まれた。

WhatsAppでのサリーとのやりとり

=======================
サリーへ。話したとおり、口座情報を送ります。

支店番号 xxxx
口座番号 xxxx
金額 250ポンド

担当者はJ MooreまたはH Mooreという名前だと思います。よろしくお願いします。
=======================
JH Mooreであっていますか？
=======================
はい、そうだったね。どうもありがとう。
=======================
完了しました。
=======================

財務部長のサリーが、あまりにも簡単にクローン化したハリーの音声を本物だと信じてしまったことに、筆者はショックを受けた。

以下の要因によって、容易に騙すことができたのではないかと考えている。

• 電話番号を見て、サリーはハリー本人だと確認した
• 捏造したシナリオが、当日の予定と合致していた
• 音声メッセージがハリーの声そのものだった

同社にフィードバックと調査結果を報告した際、サリーは十分に確証を持って送金したと述べた。実験後、ハリーの会社は資産保護のプロセスについて改善を進めた。そして、もちろん筆者は250ポンドを返金した。

WhatsAppビジネスアカウントのなりすまし

SIMスワップ攻撃でWhatsAppアカウントを乗っ取り、攻撃の信憑性を高めようとする方法は、サイバー犯罪者なら簡単に実行できてしまう。しかし、必ずしもアカウントを乗っ取る必要はない。

以前、筆者自身が一見すると信憑性があるように思える攻撃を受けた。IT企業の経営者である友人になりすまし、WhatsAppメッセージを何者かが送ってきたのだ。

友人からのメッセージがなりすましであると、すぐに見抜けたのには理由がある。もともと友人の電話番号を連絡先に登録していなかったため、氏名ではなく電話番号が表示されるはずであった。しかし、メッセージの受信時には連絡先の氏名が表示されていたため、疑問に思ったのだ。

=======================
リチャード

ジェイク、お願いがあります。
=======================

どうやらWhatsAppのビジネスアカウントを作成するだけで、この手口が使えるようだ。氏名、写真、メールアドレスをアカウントに登録し、簡単に本物と見せかけられる。これにAI音声クローン技術を組み合わせれば、次世代型ソーシャルエンジニアリングの出来上がりだ。

筆者にはメッセージの真偽を検証する習慣があるため、すぐに詐欺だと気づいたが、この単純な手口に騙される人も多いだろう。銀行振込やプリペイドカード、Appleカードのような決済サービスなど、あらゆるサイバー詐欺の手法を使って、金銭の詐取につながる可能性がある。

機械学習や人工知能の技術が飛躍的に進化して普及する中、これまでにないほどの犯罪が横行する時代が訪れようとしている。犯罪者は身元や所在を隠ぺいしながら、新たな技術を使って既存の手口を巧妙化させるだろう。

安全を確保する方法

前述した実験を振り返ってみよう。音声クローン技術を悪用した詐欺を避けるために、経営者が知っておくべき基本的な予防手段を紹介する。

• 定められた業務手続きを省略しない
• 組織とプロセスを見直す。例えば、支払いを依頼した（とされる）人物に再確認する、できるだけ決済をまとめて2人の担当者が承認するようルール化するなど
• 昨今の技術トレンドを把握し、研修内容や防御手段を最新化する
• すべての従業員に対し、特定の目的に合わせたセキュリティ研修を実施する
• 多層防御機能を備えたセキュリティソフトを導入する

次に、SIMスワップ攻撃、ならびに個人情報や金銭を狙った攻撃を避けるためのヒントをいくつか紹介する。

• オンライン上に公開する個人情報を限定する。可能な限り、住所や電話番号などの個人情報は投稿しない
• ソーシャルメディア上で、自身の投稿を含めたデータを閲覧できる人を制限する
• 機密性の高い個人情報を詐取しようとするフィッシング攻撃などに気をつける
• 通信事業者が、PINコードやパスコードでアカウントを保護する仕組みを提供している場合、有効化されていることを確認する
• 二要素認証（2FA）を設定する。可能であれば、認証アプリやハードウェア認証デバイスを使用する

特に二要素認証の重要性は見過ごせない。WhatsAppアカウント（二段階認証と呼ばれている）など、利用中のオンラインアカウントで二要素認証が有効になっていることをあらためて確認してほしい。