誰も語らない555億ドルの問題

ビジネスメール詐欺(BEC)は、世界で最も経済的被害の大きいサイバー犯罪です。FBIのインターネット犯罪苦情センターによると、BECの累計世界被害額は555億ドルに達し、2024年だけで27.7億ドルが盗まれました。しかし、ほとんどの企業はその存在すら知らず、防御策を講じている企業はさらに少ないのが現状です。

BECが成功するのは、技術ではなく信頼を悪用するからです。攻撃者はCEO、取引先、同僚になりすまし、送金、認証情報の共有、振込先の変更を依頼します。メールは本物に見えます。電話は本物に聞こえます。そして今、ディープフェイクの音声クローンと映像を使えば、人間の知覚では本物と区別がつかないほどリアルになりました。

27.7億ドル
が2024年だけでビジネスメール詐欺により失われた(FBI IC3)

Arupのディープフェイク事件:1回のビデオ通話で2,500万ドルが消えた

2024年2月、エンジニアリング企業Arup(従業員18,000人)の香港の経理担当者が、会社のCFOから秘密の金融取引を依頼するメッセージを受け取りました。最初は疑いました。しかしその後、ビデオ会議の招待が来ました。

通話には、担当者が見知ったCFOと数人の同僚がいました。顔も一致し、声も一致しました。取引について詳しく話し合い、質問に答え、送金を承認しました。会議の間に、担当者は合計HK$2億——約2,560万米ドル——に相当する15件の取引を実行しました。

その通話の全員がディープフェイクでした。会議に参加していた本物の人間は、その担当者だけだったのです。

2,560万ドル
が1回のディープフェイクビデオ通話で盗まれた(Arup、香港、2024年)

MGMリゾーツ:1本の電話で1億ドルの被害

2023年9月、ハッカー集団Scattered SpiderがMGMリゾーツのITヘルプデスクに電話をかけ、従業員になりすましました。通話時間はおよそ10分。LinkedInから収集した情報を使い、ヘルプデスクの担当者にその従業員の認証情報のリセットを実行させました。この1本の電話で、攻撃者はMGMのネットワーク全体へのアクセスを獲得しました。

その結果、ラスベガス中のスロットマシンが停止し、ホテルのカードキーが機能しなくなり、MGMの業務は10日間にわたって麻痺しました。被害総額は推定1億ドル以上。すべてはITヘルプデスクの担当者が、電話の相手が本当に誰なのかを確認できなかったために起きたことです。

ビッシング(音声フィッシング)攻撃は、セキュリティ企業Hoxhuntの調べによると、過去1年間で442%急増しました。ITヘルプデスクが最大のターゲットになっている理由は、パスワードリセット、MFA登録、アカウントアクセスなど、「城の鍵」を握っているからです。

従来のセキュリティが役に立たない理由

企業はファイアウォール、エンドポイント検出、多要素認証に何十億も費やしています。しかし、信頼された内部の人間が電話でソーシャルエンジニアリングされる事態には、これらはどれも対応できません。MFAは攻撃者がITにリセットさせれば無意味です。メールフィルターは電話には効きません。エンドポイントセキュリティは、人間が送金を承認するのを止められません。

  • 多要素認証——攻撃者がITをソーシャルエンジニアリングしてリセットさせる
  • メールセキュリティフィルター——電話やビデオで攻撃される場合は無関係
  • 発信者ID——任意の番号を表示するよう簡単に偽装可能
  • ビデオ通話での目視確認——リアルタイムのディープフェイクに敗北する
  • セキュリティ意識向上研修——フィッシングメールの見分け方は教えるが、リアルタイムの音声なりすましには対応しない

欠けていたレイヤー:口頭による確認

セーフワードは、公開情報から派生していないため、ディープフェイクが再現できないものです。対面で合意された共有秘密——当事者の頭の中にのみ存在する知識です。どれだけLinkedInを調べ、声をクローンし、映像をディープフェイクしても、生み出すことはできません。

NIST Special Publication 800-63B——米国政府のデジタルアイデンティティガイドライン——は、公衆交換電話網(PSTN)を介した音声ベースの帯域外認証を明確に承認しています。原理は健全です:攻撃者が傍受できない共有知識を使い、別のチャネルを通じてアイデンティティを検証するのです。

職場のセーフワードの導入方法

  • 全体会議で対面でチームのセーフワードを決める——メールやチャットでは絶対に共有しない
  • 一定額(例:50万円)以上の金融取引には口頭でのセーフワード確認を義務付けるポリシーを作る
  • ITヘルプデスクはパスワードリセットやMFA変更の前に部署のセーフワードを確認する
  • 四半期ごとにセーフワードをローテーション——次の対面ミーティングで新しいものを発表する
  • 取引先への支払い:重要な取引先との間で支払い変更リクエスト用のセーフワードを決める
  • 経営幹部からの連絡:CEOから緊急の依頼があった場合、セーフワードが提示されるまで誰も行動しない

取引先なりすまし:最も急成長するBECの手口

Abnormal AIの調べによると、最近のBEC攻撃の60%は、経営幹部なりすましではなく取引先なりすましを使っています。攻撃者が取引先のメールを乗っ取り、請求パターンを監視した上で、説得力のあるメッセージを送ります:「銀行口座が変わりました。記録を更新し、次回の支払いをこちらの新しい口座にお願いします。」

経理チームと各重要取引先との間でセーフワードを共有しておけば、これは完全に防げます。支払い情報の変更が処理される前に、取引先は確認のため共有された確認ワードを——電話で、既知の連絡先に、既知の番号で——提供しなければなりません。

リモートワークが事態を悪化させた

チームが同じオフィスにいた頃は、誰かのデスクに行って対面で依頼を確認できました。リモートワークやハイブリッドワークでその手段はなくなりました。今やすべての確認がデジタルチャネル——まさにディープフェイクが侵害できるチャネル——を通じて行われています。セーフワードは、リモート環境でも対面での信頼のレイヤーを回復します。

今すぐ始めましょう:Safewords.ioのプロトコルビルダーで職場の確認プロトコルを作成できます。グループタイプで「職場」を選び、チームメンバーを追加し、セーフワード確認が必要なシナリオを定義してください。セキュリティカードを印刷して、次のチームミーティングで配布しましょう。