セキュリティ
ディープフェイクの脅威と企業が直面する情報リスク
AI技術の進化により、専門知識がなくとも本物と区別のつかない偽動画・音声が容易に作成可能となりました。かつてのエンターテインメント技術は、今や企業の存続に関わる重大なセキュリティ脅威へと変貌しています。
本記事では、巧妙化するディープフェイクの仕組みや「CEO詐欺」「ブランド価値低下」といった具体的リスクを示しながら、最新の検知ツール導入をはじめとする、企業が今すぐ取り組むべき情報セキュリティ対策について解説します。
ディープフェイクとは
AI技術の進化により生まれたディープフェイクは、本物と見分けづらい精巧な偽造コンテンツを生み出し、社会における新たな課題となっています。その基本的な仕組みと、企業活動において警戒すべき具体的な種類について見ていきましょう。
ディープフェイクの仕組みと主なパターン
ディープフェイクとは、ディープラーニング(深層学習)を応用し、既存の映像や音声に別の情報を合成する技術の総称です。AIに対象人物の大量のデータを読み込ませて目鼻立ちや声の特徴を学習させ、その特徴を別の映像や音声に違和感なく合成する仕組みで生成されます。
主なパターンとしては、映像内の人物の顔をターゲットの顔に置き換えたり声を変換したりして本人になりすます「すり替え」や、本人の映像を使いつつ口元の動きだけを加工して言っていない言葉を喋らせる「操作」などが挙げられます。
企業に関係するディープフェイクの種類(映像・音声・画像など)
企業が特に警戒すべきディープフェイクの種類としては、次のようなものが挙げられます。
- フェイススワップ:動画内の人物の顔を経営者などの顔にすり替える
- ボイスクローニング:わずかな音声サンプルから特定人物の声色や抑揚を再現する
- リップシンク:任意の音声に合わせて唇の動きを修正し発言を捏造する
- ジェネレーティブフェイス:実在しない人物の顔写真を生成して架空の社員や顧客プロフィールとして悪用する
これらの技術は、企業の信頼を損なう攻撃手法としてリスクが高まっています。
ディープフェイクが企業にもたらす情報リスク
ディープフェイクにより、企業が直面する代表的な3つの脅威について具体的に解説します。
経営者や担当者になりすますディープフェイク詐欺
従来のビジネスメール詐欺(BEC)が進化し、Web会議や電話で経営幹部になりすまして直接送金を指示する手口が急増しています。この手法は、テキストだけのフィッシングとは比較にならないほど、担当者が騙されやすい点が特徴です。
実際に香港では、AI動画で生成された偽のCFO(最高財務責任者)がWeb会議に出席し、巧みな指示によって日本円にして2億香港ドル(日本円で約40億円)もの巨額資金を詐取される事例が発生しました。
視覚・聴覚情報を精巧に偽装されることで、対面でのコミュニケーションと同様の信頼感を悪用される点が最大の脅威となっています。
フェイク動画・音声による風評被害とブランド価値低下
経営陣が差別的な発言や不適切な言動をしている偽動画が拡散されることで、事実無根であっても株価の暴落や社会的信用の失墜を招くリスクがあります。
また、自社製品に重大な欠陥があるかのような偽造映像や、虚偽の内部告発動画、さらにはAIで捏造された「謝罪会見」などがSNSで流れ、公式情報との混乱を引き起こすケースも想定されます。
一度拡散された偽情報を完全に削除したり訂正したりすることは非常に困難です。風評被害によるブランドイメージへのダメージは、長期化する恐れがあります。
認証突破や情報漏えいにつながるディープフェイク
スマートフォンの顔認証やオンライン本人確認(eKYC)においては、ディープフェイク映像を用いることで認証を突破されるぜい弱性が指摘されています。生体認証は強固なセキュリティとして注目されていますが、過信は禁物です。
万が一突破されれば、なりすましログインによる機密情報の持ち出しや不正送金を許してしまいます。それだけでなく、SNS上の顔写真や動画から収集されたバイオメトリクス情報が攻撃用の学習データとして悪用されるという負の連鎖も懸念されています。
ディープフェイクの脅威に備える企業の対策
巧妙化するディープフェイク攻撃に対し、企業は「人・ルール」と「技術」の両面から多層的な防御策を講じる必要があります。具体的な社内体制の整備から最新技術の導入、有事の危機管理まで、実践的な対策手法を見ていきましょう。
社内ルール整備と従業員教育によるディープフェイク対策
まず本人確認ルールを厳格化し、送金指示や機密情報の共有といった重要業務においては、Web会議や電話だけで完結させないようにしましょう。
また、高額取引や権限変更については単独判断を避け、複数担当者による承認や上長への報告を必須とするなどの対策も有効です。
さらに、全従業員を対象に実際のディープフェイク詐欺事例を用いた訓練プログラムを定期的に実施し、役職や部署を問わず組織全体でリテラシーを向上させることが、「人」を狙う攻撃への最大の防御となります。
検出ツール・多要素認証など技術面でのディープフェイク対策
技術的な対策として、AIを活用したディープフェイク検知ツールを導入し、受信した動画や画像に不自然な加工の痕跡がないか自動解析する仕組みを構築することが推奨されます。
認証セキュリティにおいては、顔認証や指紋認証などの生体認証のみに依存せず、パスワードやセキュリティキー、ワンタイムパスワードなどを組み合わせた多要素認証(MFA)を徹底し、不正アクセスを防止する強固な環境を作ります。
加えて、自社が公式に発信する画像や動画には、来歴情報を記録するC2PA規格(デジタルコンテンツの出どころや編集履歴を証明するための規格)に基づく証明書データの付与や電子透かし(ウォーターマーク)を埋め込む手法が効果的です。改ざんの有無を第三者が容易に検証できるようにすることで、コンテンツの真正性を担保することができます。
偽情報拡散時の広報対応と危機管理体制の整え方
偽情報の拡散に備え、SNSやニュースサイト、掲示板などで自社に関する言及を常時モニタリングし、ディープフェイクを含む偽情報の兆候を早期に検知できる仕組みを整備しておく必要があります。
万が一偽情報が発見された場合に備え、初動対応や法務・広報・セキュリティ部門間の連携フロー、外部への声明発表手順などを定めた危機対応マニュアルを事前に策定しておくことが被害の拡大防止につながります。
平時から公式サイトや公式SNSアカウントの認知度を高め、有事の際に顧客や取引先が「どこが正式な情報源か」を即座に判断できる信頼のチャネルを確立しておくことも、危機管理上の重要な対策です。
まとめ - ディープフェイクの脅威を見据えて情報リスク管理を徹底しましょう
生成AI技術の一般化に伴い、ディープフェイクはもはや国家レベルの脅威だけでなく、一般企業の存続に関わる重大なリスクとなりました。技術的な防御策の導入はもちろんですが、最終的には「人」が騙されないためのリテラシー向上が不可欠です。
当社では従業員のセキュリティ知識を向上させる「サイバーセキュリティトレーニング」を提供しています。
組織全体でのセキュリティ向上をお考えの方は、ぜひご相談ください。