香港でディープフェイク技術を使って、ビデオ会議で担当者を信用させるという詐欺事件が発生した。騙されないために、誰にでもできる簡単な方法があると科技生活快報が報じた。
ディープフェイクを使いビデオ会議で信用させる
コロナ禍をきっかけに広く浸透したビデオ会議。出席をすると、そこでは同僚や上司の顔が見え、仕事の話をする。しかし、その見慣れた同僚はほんとうに本人だろうか。
ディープフェイク技術を使って、ビデオ会議で上司になりすまし、大金を搾取するという詐欺事件が香港で発生した。それは英国に本社がある香港支社で起きた。香港支社のある従業員は英国本社のCFO(最高財務責任者)から一通のメールを受け取った。その内容は、本社が秘密取引を企図していて、そのためには香港の口座の資金を移さなければならないという内容のものだった。
従業員は内容から見て、何らかの詐欺の可能性があると疑い、上司やシステム管理者に連絡をし、確認をしようと考えた。しかし、その間もなく、本社CFOからこの件についてビデオ会議を開くので参加をしてほしいというメールが届いた。従業員はその会議に参加をすれば、すべて明らかになると考え、メールに記載されているビデオ会議のリンクをクリックしてビデオ会議に参加をした。
偽物上司に叱責されて、送金をしてしまった
ビデオ会議には、面識のある本社CFOが映っていた。声も聞き覚えのあるCFOのものだった。さらに、数人がビデオ会議に出席をしており、その中には香港から英国本社に移った、よく知っている同僚もいた。
CFOは非常に怒っているようだった。なぜ指示に従わないのかと言う。そして、一方的に「すぐにでも資金を移すように」と告げて、ビデオ会議を一方的に中断してしまった。
従業員は叱責されたことに萎縮をしてしまったようだ。指示通りに、会社の資金を15口に分けて5つの香港の銀行口座に送金する手続きをした。送金額は合計2億香港ドル(約38.7億円)という巨額なものになった。
しかし、その後、CFOや本社スタッフから何も応答がないことから、5日後になって英国本社のスタッフに確認のメールを送った。ここから、この事件が詐欺であったことが発覚をした。
中国国内でも同様の詐欺事件が発生
中国国内でも同様の事件は起きている。陝西省西安市のある企業の財務担当者は、社長からスマートフォンのビデオ会議に参加するように求めるメッセージを受け取った。指示に従って、ビデオ会議に参加をすると、そこには社長がいて、186万元(約3900万円)を指定した口座に振り込むように指示をされた。社長の顔も声も話し方も間違いなく社長本人のものだったため、送金を行なった。
財務担当者は、業務規定に従って、その送金の報告を社内システムに入力した。この報告を、ほんとうの社長が見て、驚いて財務担当者に事情を尋ねた。当初、二人は話が混乱したが、巧妙な詐欺にあったに違いないと警察に連絡、警察では送金先の銀行に連絡をして、口座を一時凍結できたことで、資金は被害に遭わずに済んだ。
データ収集元は企業公式サイト内のコンテンツ
ビデオ会議で、顔や声を他人のものに変えるというのはもはや難しい技術ではなくなっている。ライブコマースやショートムービーでは、視聴者に与える印象を良くするために、自分の顔を美しく修正することは当たり前のように行われている。
あらかじめ、美しく変換した自分の顔や他人の顔のデータを用意しておき、これを本人の顔認識をさせ、そこにリアルタイムで合成していく。顔の表情を変えれば、合成した顔もその通りに表情を変える。
香港の事件では、犯行グループは、その企業が公式サイトで公開している動画やインタビュー動画から、ターゲットにしたCFOの顔データと声色データを収集し、これを犯人の顔に合成することでビデオ会議に出席していた。犯人の動きや話す内容に従って、相手にはまるでCFO本人が動いたり、話したりするように見えるため、信じ込んでしまう。多少動きがカクカクするようなことがあっても、多くの人が通信回線の状況が悪くなったとしか考えない。
ビデオ会議を始める前に、手のひらで顔を隠してみる
中国計算機学会の安全専業委員会デジタル経済・セキュリティーチームのメンバーである方宇氏は、このようなディープフェイク技術を使ったビデオ会議が、詐欺グループの間では、最も仕事を安全に早く終わらせるツールになりつつあると警告した。
そして、ビデオ会議をする時には、ある動作を習慣づけることを勧めている。それは、全員が、会議を始める前に、自分の手のひらを広げて、口と鼻を覆うというものだ。手のひらを動かして、何回か繰り返す動作を励行してほしいという。
ディープフェイク技術は、犯人の顔を認識して、それにフェイクの顔データを巧妙に合成する。しかし、顔の大半が覆われてしまうと、顔認識ができなくなり、フェイクの顔が消え、本人の顔が見えてしまうのだ。
また、指で鼻を押して曲げてもらうというのも有効だという。ディープフェイクの合成では、鼻が曲がるところまでは、まだ追従できていないからだという。
ただし、これはあくまでも、現状のディープフェイク技術での話であり、このような課題まで克服した技術は、そう遠くない間に登場してくることになる。手のひらで顔を覆ったり、鼻を指で押すのは、現状では有効な方法だが、過信せずにディープフェイク技術の動向をよく見て、別の対策を講じる必要が出てくるという。
従業員を公式サイトに不用意に露出させない
さらに、公式サイトで経営陣の動画での露出を抑えるということも考える必要がある。特に、財務担当者は不要な露出を避けるべきだ。犯人たちは、このような公式データを学習素材としてディープフェイクを行うからだ。
また、ビデオ会議に参加するときは5分か10分早めに入り、参加者とプライベートな話題の雑談をする習慣をつけることも大切だ。犯人たちは、顔と声は真似をすることができても、プライベートな話題には曖昧な返答をせざるを得ず、違和感を感じとることができる可能性がある。
今後、このようなビデオ会議+ディープフェイクを使った詐欺は急増することが考えられる。真剣に対策を考えなければならない段階になっている。