(3)PDF詐欺
私たちが頼りにしているPDFドキュメントでさえ、AIを活用した不正の例外ではない。PDFベースの文書が、公式文書らしく見える偽のフォームや明細を配布し、個人情報を抜き取るために使われている。
PDF詐欺は、オンラインで見つけた「無料PDF編集ツールや確定申告フォーム入力ツール」であることが多いと、ImpersonAllyの共同創業者兼CEOであるシュロミ・ビアーは指摘する。「ユーザーが文書をアップロードするとツールは動く。しかし、裏側では機微情報の各項目を静かに記録している。たとえば、PDFエディターに文書をアップロードすれば編集はできるが、同時にそのユーザーの個人情報がすべて記録される。その後、詐欺師はその盗み取った個人情報を、詐欺メールや詐欺電話の材料として用いる。すでに大量の本物の個人情報を握られているため、それらの攻撃は極めてリアルに映る。確定申告の時期にこれが急増するのを目にした。海外の主体がそのデータを使い、ほとんど見抜けないほどの超パーソナライズ詐欺を助長したのだ」。
こうした詐欺を避けるには、面識のない相手や心当たりのない発信元から届いた文書を開かないことだ。文書の入手元のURLを確認する。受け取った文書の正当性は、電話など別の経路で確認し、認証する。
(4)雇用詐欺
求職や面接の多くがオンラインで行われるようになり、応募プロセスはAI詐欺の温床になりつつある。
詐欺師は、一見すると本物らしい求人広告を掲載する。LinkedIn詐欺のように、採用担当者や採用マネジャーを装い、求職者へ直接メッセージを送るケースもある。
応募者は、企業幹部の画像と声をクローンしたディープフェイクのビデオ面接にさらされることがある。さらに悪いことに、仕事のオファーを出した上で、ツールや機器への投資を条件にしたり、詐欺師のツール(マルウェアを仕込んだ業務用ソフト)へのリンクを踏ませたりし、そこからデータや認証情報を盗み取ることもある。
「こうした攻撃では、犯罪者がディープフェイクの音声や動画、AI生成のコミュニケーションを使って、著名企業の採用マネジャーになりすます」と、GuardzのCEO兼共同創業者であるドール・アイスナーは語る。「被害者は複数回の面接を受け、もっともらしい契約書を受け取り、人生が変わるような職の機会を約束されることがある。時間をかけて攻撃者は信頼を築き、最終的に機微な個人情報や支払い情報の共有、さらには航空券などの購入まで、後で精算すると約束しながら説得する」。
求人の真偽を確かめるには、先に進む前に当該企業の人物とライブでやり取りできる場を求職者自身が確保する必要がある。ここでも「うますぎる話」という格言が当てはまる。わずかな労働時間で極端に高額な報酬を提示するオファーは、詐欺の兆候かもしれない。AIを使う雇用詐欺師は、オファーを出す前に機微な個人情報、さらには金銭を求めることもある。
(5)ECサイト詐欺
AI詐欺師は、偽物だがリアルに見えるECサイトを使い、消費者とその金を誘い込んでいる。購入の過程で偽の銀行サイトを介して支払わせ、クレジットカードや銀行カードの情報を盗み取ることがある。誤った購入を確定させるために、応答するチャットボットまで用意されている場合もある。
ECサイト詐欺はトライアングレーション詐欺(triangulation fraud)とも呼ばれる。「現在詐欺グループは、AIを使って説得力のある店舗、洗練された商品リスト、本物のブランドさながらのマーケティングを素早く構築できる」と、Signifydの最高製品責任者であるアルジュン・カッカーは語る。カッカーによれば仕組みはこうだ。本物の買い物客が偽サイトで注文を出すと、詐欺師は盗んだ決済情報を使って正規の販売事業者から商品を購入し、それを当該の買い物客のもとへ発送させる。結果として、正規の販売事業者は(後日、本来のカード保有者からの不正利用申告にともなうチャージバックにより)詐欺による損失を被ることになり、買い物客は決済情報を盗まれた被害者となり、ブランドの評判も傷つくことになる。
Global Cyber Allianceの社長兼CEOであるブライアン・キュートは、詐欺ECサイトにアクセスしないよう、クリックする前にリンクを確認することを勧めている。
