IRONSCALESの創業者兼CEOであるエヤル・ベニシティ氏は、15年以上の業界経験を持つ先駆的なセキュリティソフトウェアエンジニア兼エグゼクティブリーダーである。
長い一日の終わりにメールを確認していると、会社のCEOから緊急のZoom通話に招待するメッセージが届いたとしよう。通話に参加すると、CEOの間違いようのない声で、非常に重要な取引先への支払いに問題が生じたと告げられる。今日中に支払いを済ませなければサービスが停止されるという。CEOは支払い詳細、口座番号、送金先番号を伝え、窮地を救ってくれたことに感謝して通話を終了する。
翌日、再びCEOとの会議に呼ばれる—同じ間違いようのない声色と話し方の特徴を持つCEOだが、今回は昨日の午後に25万ドルが正体不明の海外口座に送金された理由を尋ねてくる。困惑しながら、あなたはCEO自身が送金を依頼したのだと説明しようとする。
残念ながら、これは想像上の話ではなく、今日のビジネス界ではこのような攻撃が実際に起きている。かつてSF小説の世界のように思えたことが、今や現実となっている。当社IRONSCALESの調査によると、組織の85%が過去12カ月間に1件以上のディープフェイクを活用したサイバーセキュリティインシデントを経験している。さらに悪いことに、55%が金銭的損失を報告しており、損失額は1件あたり平均28万ドル以上に達している。約5分の1(19%)は50万ドル以上の損失を報告している。
言うまでもなく、ディープフェイクを活用したサイバー攻撃の時代が到来した。この新しいタイプの脅威は広範囲に及び、コストがかかり、現実と虚構の境界線が完全に消える前に防御を固めようと組織を慌てさせている。
新興の外部リスクから重大な脅威へ:ディープフェイクが中心的存在に
ディープフェイク技術は数年前から存在していたが、長い間比較的粗雑で人間の目で容易に見分けられるものだった。しかし、これらのAIを活用した合成メディアは劇的に進化し、現在ではリアルタイムの動画や音声のディープフェイクでさえ、一般の人々が現実と区別することが難しくなっている。2024年、英国のエンジニアリンググループArupは、ハッカーが同社CFOの成功したディープフェイクによるライブビデオ会議を主導した際に2500万ドルを失った。
2025年だけでも、ライブ音声および動画ディープフェイク攻撃の発生率はともに11%以上増加した。一方、録音された音声/声の操作の発生率は2倍以上に増加し、2024年のわずか25%から2025年には52%以上になった。
具体的な攻撃経路や媒体が何であれ、ディープフェイクを活用したサイバー攻撃は急速に増加しており、減速の兆しは見られない。これらの合成メディアを生成するために使用されるAIモデルが改良され続けるにつれて、これらの攻撃は量だけでなく洗練度も確実に増していくだろう。
足踏みしないで:組織が行動すべき時は今
幸いなことに、ディープフェイクを活用したサイバー攻撃の脅威は多くの専門家の目に留まっている。当社の調査では、回答者のほぼ100%がディープフェイクに対して少なくともある程度の懸念を表明している。しかし、多くの組織は行動を起こす点で遅れをとっている。企業の29%だけがディープフェイクの脅威から保護するための措置を講じており、組織の半数近くが緩和計画を持っていない。
では、このギャップはどこから生じているのだろうか?断言は難しいが、一部の組織では、現状のディープフェイク検出技術の成熟度に対する認識不足や信頼の欠如が原因かもしれない。確かにツールはまだ進化中であり、時間の経過とともにより効果的で洗練されていくことは間違いないが、未知の理想的な将来の状態を待つことは健全な戦略ではない。ディープフェイクを活用した脅威の量、速度、洗練度が日々増加している中、今こそ準備すべき時である。
この非常に深刻な脅威(そして結果として生じる非常に重大な金銭的損害)に関する認識が高まるにつれて、ディープフェイク防御への投資を行う組織の割合が大幅に増加することが予想される。
ディープフェイク防御への三本柱アプローチ:人、ポリシー、テクノロジー
では、組織は今日、ディープフェイクを活用した脅威の増加から身を守るために何ができるのだろうか?残念ながら、単一の特効薬は存在しない。代わりに、組織は従業員の訓練と教育、安全なポリシーの実施、そしてディープフェイクがエンドユーザーに到達する前に阻止できる検出技術への投資を目指す三本柱アプローチを取るべきである。
1. 人:訓練とテストは譲れない。ディープフェイクを活用したサイバー脅威の時代において、組織はディープフェイクに関する認識を高め、警戒を促すために特別に設計された専用の訓練・テストプログラムを開発すべきである。さまざまなディープフェイク攻撃経路(メール、静止画像、音声、動画など)にわたって従業員を定期的に訓練・テストすることは、賢明で安全な労働力を育成するために不可欠である。
2. ポリシー:一個人が侵害を可能にしないようにする。自社のCFOの声や姿がリアルタイムでシミュレートされる世界では、組織は一度の成功した欺瞞行為だけでは侵害につながらないように、複数の歯止めと指揮系統を作成する必要がある。意味のある金融取引や認証/承認行為はすべて、その真正性を確立し、不正行為が見過ごされないようにするために、複数の関係者を通過すべきである。
3. テクノロジー:火には火で対抗する。ディープフェイク検出に関しては、AIは不可欠である。ディープフェイク生成の原動力となるAIは、それを検出するために使用されるテクノロジーの重要な要素でもある。企業は日々、より感度が高く効果的なディープフェイク検出・防御ツールを革新し、リリースするために懸命に取り組んでいる。
ディープフェイク主導の脅威の洪水に溺れないために
ディープフェイク関連のインシデントは、もはや地平線上に迫る仮説上の脅威ではない。それらは現実に存在し、増殖し、重大な金銭的リスクをもたらしている。今後は、単なる認識だけでは不十分である。組織は今日、合成メディアから身を守るために時間とリソースの実質的な投資を行わなければならない—さもなければ、明日その代償を払うことになるだろう。
