パスつく.com

ディープフェイクとなりすまし詐欺の対策

この記事は約 5 分で読めます

ディープフェイク技術の急速な進歩により、音声や映像を高精度に偽造する なりすまし詐欺が深刻な脅威となっています。 Sumsub の 2024 年レポートによると、ディープフェイクを用いた 本人確認詐欺は前年比で 10 倍に増加しており、 特にリアルタイム音声合成の精度向上が被害拡大の主因です。 上司や家族の声を模倣した電話詐欺、本人そっくりのビデオ通話による 不正送金指示など、従来の「見て確認する」「声で判断する」という 本人確認の常識が通用しなくなりつつあります。 本記事では、ディープフェイクを悪用した詐欺の手口と、 パスつく.com を活用した認証強化による防御策を解説します。

ディープフェイクを悪用した詐欺の手口

音声ディープフェイクによる電話詐欺

わずか 3 秒間の音声サンプルがあれば、特定の人物の声を 95% 以上の 類似度で再現できる技術が登場しています。攻撃者は SNS の動画や ボイスメッセージから音声を収集し、上司や家族になりすまして 電話をかけます。「緊急で送金が必要」「パスワードを教えて」 といった要求に、声が本人そっくりであるため疑いを持ちにくいのが この手口の危険な点です。

2024 年に香港で発生した事例では、CFO を含む複数の幹部の ディープフェイク映像を使ったビデオ会議で、経理担当者が 約 38 億円 (2 億香港ドル) を送金させられました。 音声合成の原理は、話者の声の特徴量 (ピッチ、フォルマント周波数、 話速パターン) を深層学習モデルで学習し、任意のテキストを その話者の声で読み上げるものです。 音声だけで本人確認を行うことは、もはや安全とは言えません。

映像ディープフェイクによるビデオ通話詐欺

リアルタイムで顔を差し替えるディープフェイク技術により、 ビデオ通話でのなりすましも可能になっています。 Zoom や Teams などのオンライン会議で、取引先や上司に なりすまして機密情報の開示やパスワードの共有を要求する 手口が確認されています。画面越しの映像は解像度が限られるため、 偽造の検出が困難です。

注意すべき点として、現在のリアルタイムフェイススワップ技術は 正面顔に最適化されているため、横顔や急な首の動きで 不自然なアーティファクト (ちらつき、輪郭のずれ) が発生しやすい 特徴があります。ビデオ通話中に相手の動きが不自然に感じた場合は、 横を向いてもらう、手で顔の一部を覆ってもらうなどの 簡易的な検証が有効です。ディープフェイク検出と顔認証セキュリティの技術書 (Amazon)も検出技術の理解に役立ちます。

SNS を悪用したなりすましアカウント

ディープフェイクで生成した顔写真をプロフィールに使用し、 実在の人物になりすました SNS アカウントが作成されています。 友人や同僚を装ってフィッシングリンクを送信したり、 個人情報を聞き出したりする手口です。 GAN (敵対的生成ネットワーク) で生成された顔画像は、 人間の目では実在の写真と区別がつかないレベルに達しており、 プロフィール写真だけで真偽を判断することは事実上不可能です。 よくある誤解として「不自然な画像は見ればわかる」と考える人がいますが、 最新の生成モデルでは瞳の反射パターンや肌のテクスチャまで 精密に再現されるため、視覚的な判別に頼るのは危険です。

ディープフェイク詐欺への防御策

多要素認証で本人確認を強化する

音声や映像による本人確認が信頼できない以上、 パスワードと二段階認証による多要素認証が防御の要となります。 パスつく.com で各サービスに固有の強力なパスワードを生成し、 認証アプリやハードウェアセキュリティキーによる 二段階認証を設定してください。 たとえディープフェイクで本人になりすまされても、 パスワードと認証コードの両方を突破することは極めて困難です。 Microsoft の 2024 年セキュリティレポートによると、 多要素認証を有効にしたアカウントは、パスワードのみのアカウントと比較して 不正アクセスのリスクが 99.2% 低減するとされています。

合言葉やコールバック手順を決めておく

家族や職場のチームで、電話やビデオ通話での重要な依頼に対する 確認手順を事前に決めておきましょう。 たとえば、送金や機密情報の共有を求められた場合は、 別の通信手段 (メール、チャット) で改めて確認する、 事前に決めた合言葉で本人確認を行う、といったルールが有効です。 合言葉は定期的に変更し、デジタルではなく対面で共有してください。 ディープフェイク攻撃者は過去の通信履歴を分析して 合言葉を推測する可能性があるため、 個人的な思い出や内輪のジョークなど、 外部からは推測困難な内容を選ぶことが重要です。

不審な要求には応じない

「緊急」「今すぐ」「誰にも言わないで」といった 心理的圧力をかける要求は、詐欺の典型的なパターンです。 FBI の IC3 (Internet Crime Complaint Center) の 2024 年報告では、 ビジネスメール詐欺 (BEC) の被害額は年間約 29 億ドルに達し、 そのうちディープフェイクを併用した手口が急増しています。 どれだけ声や映像が本物に見えても、 通常と異なる手順での送金やパスワード共有の要求には 応じないでください。一度電話を切り、 自分から相手の正規の連絡先に折り返すことで、 なりすましを見破ることができます。ソーシャルエンジニアリングと心理操作の防御実践書 (Amazon)で攻撃者の心理的手法を学ぶことも防御力の向上につながります。

アカウント保護の強化

ディープフェイク技術の進化に伴い、「見た目」や「声」に頼らない 認証の重要性が増しています。パスつく.com で生成した ランダムなパスワードは、人間の特徴を模倣するディープフェイクでは 突破できません。以下の対策を組み合わせて、 アカウントの安全性を高めてください。

  • パスつく.com で 16 文字以上のランダムなパスワードをサービスごとに生成する
  • 認証アプリまたはハードウェアキーによる二段階認証を全アカウントに設定する
  • パスワードリセット用のメールアカウントを最優先で保護する
  • SNS での個人情報の公開範囲を最小限に設定する
  • 不審なリンクや添付ファイルを開かない
  • 音声サンプルの流出を防ぐため、ボイスメッセージの公開範囲を制限する

エッジケースとして注意すべきなのは、ディープフェイクと フィッシングを組み合わせた複合攻撃です。 たとえば、上司のディープフェイク音声で「今からメールを送るので リンクをクリックして」と指示し、直後にフィッシングメールを送信する手口は、 音声による信頼感とメールの緊急性が相乗効果を生み、 被害率が単独攻撃の 3 倍以上に跳ね上がるとされています。 ディープフェイク技術は今後さらに精巧になることが予想されます。 技術的な認証手段を強化し、人間の判断だけに頼らない セキュリティ体制を構築することが、 なりすまし詐欺から身を守る最善の方法です。

関連記事

パスワードを生成する →