トビー・ブラウン氏は、民間情報調査会社ASIG Investigationsの創業者兼マネージングパートナーである。
デジタル恐喝は進化しており、その進化速度は、ほとんどの組織が準備できているペースを上回っている。
サイバー犯罪は長らく盗まれたデータ、ランサムウェア、システム侵害に依存してきたが、人工知能(AI)がそのルールを変えつつある。今日の犯罪者は、もはや機密情報へのアクセスを得て脅迫材料を作る必要がない。多くの場合、単にそれを生成すればよいのだ。
この変化は重要な転換点を示している。恐喝は、攻撃者が何を持っているかに依存しなくなり、彼らが何を説得力を持って捏造できるかによって、ますます推進されるようになっている。
盗まれたデータから合成された脅迫材料へ
過去において、恐喝には証拠、つまり侵害されたファイル、社内メール、機密データが必要だった。しかしAIはその障壁を取り除いた。今や犯罪者に必要なのは「もっともらしさ」と、企業への信頼の欠如だけである。
米連邦捜査局(FBI)は、AI技術を用いた「セクストーション(性的脅迫)」手口の急増について警告を発している。犯罪者は公開されている写真を使って偽の露骨な画像を生成し、被害者が支払わなければそれを拡散すると脅迫する。これらのキャンペーンは個人と専門家の両方を標的にしており、いかに容易に評判への被害が大規模に製造され得るかを示している。
これらのケースでは、コンテンツが本物である必要はない。十分な数の人々に信じられ、評判に傷をつけられる程度に信憑性があればよいのだ。
組織にとって、その影響は重大である。経営幹部、従業員、さらにはブランド自体が、プレッシャーの下で迅速な意思決定を強いるために設計された捏造証拠の標的となり得る。これらの決定は、その後、他の攻撃に悪用される可能性がある。
「侵害なき恐喝」の出現
もう一つの増加傾向は、サイバーセキュリティ専門家が「侵害なき恐喝」と呼ぶものである。
これらのシナリオでは、攻撃者は企業のシステムに侵入したと主張し、機密データを公開すると脅迫するが、実際の証拠を提示する代わりに、AI生成されたサンプルや公開情報から収集した情報を使って主張を裏付ける。
この戦術は、攻撃者が技術的優位性よりも心理的圧力に大きく依存する、サイバー恐喝とランサムウェアの進化におけるより広範なトレンドと並行して観察されている。組織は、侵害の可能性だけでなく、侵害の認識に対しても対応を迫られている。
欧州刑事警察機構(ユーロポール)が新興サイバー犯罪の脅威に関する報告で指摘しているように、AIは犯罪者が詐欺を拡大し、標的設定を自動化し、攻撃の信憑性を高めることを可能にしている。
これは、企業が脅威を完全に検証することなく、単に評判の失墜を避けるために迅速に行動せざるを得ないと感じる可能性がある、危険な力学を生み出している。
恐喝の道具としてのディープフェイク
最も懸念される展開の一つは、恐喝スキームにおけるディープフェイク技術の使用である。
セキュリティ研究者と調査チームは、経営幹部や主要人物を巻き込む妥協的なシナリオを捏造するために、AI生成された音声や映像が使用されるケースを、ますます多く記録している。これには、不正行為の告発、詐欺や贈収賄を示唆する捏造された会話、信頼性を損なうために操作された映像などが含まれる。
完全に虚偽であっても、これらの素材は行動を強いるのに十分な疑念を生み出すことができる。
ディープフェイクを利用した脅威のより広範な台頭は十分に記録されており、合成メディアが詐欺、操作、強要にどのように使用されているかの分析も含まれている。
組織にとって、これは新しい種類のリスクを導入する。根本的な事件がなくても評判が攻撃され得るというリスクである。
恐喝をより標的化し、より効果的にするAI
現代の恐喝はもはや一般的なものではない。
ランサムウェアグループと組織化されたサイバー犯罪者は現在、AIを使用して、盗まれたデータや公開されているデータをより迅速に分析し、法的リスク、顧客関係、人事問題などの高価値の圧力ポイントを特定し、経営陣に向けた高度にパーソナライズされた脅迫を作成している。
広範な要求を発する代わりに、攻撃者は心理的影響を最大化するためにアプローチを調整している。これは、サイバー犯罪におけるより広範なトレンド、つまり日和見的攻撃から精密な標的設定への移行と一致している。
従来の対策がもはや十分でない理由
多くの組織は依然として、サイバーセキュリティとコンプライアンスに対する従来のアプローチに依存している。これらの保護は主に不正アクセスの防止に焦点を当てている。しかしAI駆動型恐喝はこれらの対策を回避する。
今日では、脆弱性は技術的、運用的、そして人的なものである。
一般的なギャップには以下が含まれる。
• 機密性の高い、またはリスクの高い主張に対する検証プロトコルの欠如
• 評判に関する脅威に対する明確な対応戦略の不在
• AI対応の操作戦術に関する従業員の認識の限界
• 検証なしにデジタルコンテンツを「証拠」として過度に信頼すること
この環境では、十分にセキュリティが確保された組織でさえ、リスクにさらされる可能性がある。
企業がリスクに備え、軽減する方法
AI駆動型恐喝への対処には、セキュリティに対するより広範なアプローチが必要である。我々が目にしているのは、コンプライアンス、運用、人間の行動を統合する新しいアプローチである。
1. 検証プロトコルの確立
財務的、法的、または評判に関わる重要な決定は、検証されていないデジタル証拠に基づいて行われるべきではない。独立した検証を標準的な慣行とすべきである。
2. 恐喝に特化した対応計画の策定
ほとんどのインシデント対応計画は侵害に焦点を当てている。組織は、捏造された告発、ディープフェイクのシナリオ、評判ベースの脅威にも備えるべきである。
3. 新たな脅威に関する従業員トレーニング
認識は極めて重要である。従業員がAIをコンテンツの操作にどのように使用できるか、なぜ緊急性がしばしば戦術であるか、いつどのように懸念をエスカレートするかを理解できるよう支援すべきである。
4. 機密情報の公開露出の制限
経営幹部と主要人物は、ビデオ、オーディオ、インタビューなどの公開されているコンテンツが、AIモデルのトレーニングにどのように使用され得るかを認識すべきである。
考え方の転換:セキュリティから信頼性へ
組織が行わなければならない最も重要な転換は概念的なものである。AI駆動型恐喝は、信頼性を保護することに関するものである。
我々がクライアントに伝えているのは、デジタルコンテンツが大規模に捏造され得る世界に我々は今生きているということであり、それが事実であるならば、問題はもはや「これは侵害されたか?」ではない。代わりに「これは我々に対して説得力を持って使用され得るか?」である。
AIは高度な恐喝への参入障壁を下げる一方で、それが発生し得る速度と規模を増大させた。これは、犯罪者が優位に立つために必要なのは信憑性だけであることを意味する。
組織にとって、リスクはもはや何が本物であるかに限定されず、何が本物に見えるように作られ得るかにまで及ぶ。最も回復力のある企業は、この変化を早期に認識し、検証をプロセスに組み込み、認識が現実と同じくらい危険であり得る脅威の状況に備える企業である可能性が高い。
