あなたの声は私のパスです

最近私の声が盗まれたことで、AI がすでに社会に混乱を引き起こす能力を持っていることが私には明らかになりました。私はクローンの音質に非常に驚いたので、同じソフトウェアを悪用して、小さな会社から何かを盗むことができるかどうか試してみることにしました。 (もちろん、これはすべて許可を得て行われました。そして、ネタバレ注意: アクティビティ全体は驚くほど簡単に実行でき、ほとんど時間がかかりませんでした。)

実際、「ブレードランナー」や「ターミネーター」などの架空の映画で AI の概念が主流になって以来、人々はこのテクノロジーがどのような無限の可能性を生み出し続けることができるのか疑問に思ってきました。しかし、今になってようやく、コンピュータの能力の向上とメディアの幅広い注目に後押しされ、AI が恐ろしくも刺激的な方法で世界中の人々を魅了し始めているのがわかるようになりました。人工知能などのテクノロジーが普及するにつれ、壊滅的な結果をもたらす創造的で洗練された攻撃が見られるようになるでしょう。

音声クローンアドベンチャー

以前警察に勤めていたときに、私は「犯罪者のように考える」という考え方を身につけました。このアプローチには、非常に明白でありながら、過小評価されている利点がいくつかあります。それは、人が犯罪者のように考え、行動すればするほど（実際には犯罪者でなくても）、よりよく保護されるということです。これは、最新の脅威を常に把握し、将来の傾向を予測するために不可欠です。

そこで、AI の現在の機能の一部をテストするために、私は再びデジタル犯罪者の考え方を取り入れ、倫理的なハッカーと同じように企業を攻撃する必要がありました。

私は、ある知人（ハリーと呼ぶことにしましょう）に、彼の声を複製して、それを使って彼の会社を攻撃してもよいかと尋ねました。ハリーは同意し、市販のソフトウェアを使用して彼の声を再現する実験を始めることを許可してくれました。幸運なことに、ハリーの声を入手するのは比較的簡単でした。彼は YouTube チャンネルで自分のビジネスを宣伝する短いビデオを頻繁に録画しているので、私はそのいくつかをつなぎ合わせて、優れたオーディオ テストベッドを作成することができました。数分以内にハリーの声のコピーが手に入り、何でも編集して彼の声で演奏できるようになりました。

さらに賭け金を上げるため、私はSIMスワップ攻撃でハリーのWhatsAppアカウントを盗み、攻撃の信憑性を高めることにしました。これも許可を得て行いました。それから私は彼のWhatsAppアカウントを使って、彼の会社の財務部長（ここではサリーと呼ぶことにします）に音声メッセージを送信し、「新しい請負業者」に250ポンドを支払うよう依頼しました。アクションが始まったとき、ハリーが近くの島でビジネスランチを取っていることを知っていたので、ストーリーを語って攻撃する絶好の機会が与えられました。

音声メッセージには、ハリーの居場所と「フロアデザイナー」に支払いをする必要があること、そして後ほど銀行口座の詳細を直接送ると書かれていた。サリーに送信されたWhatsAppメッセージには、音声メッセージに加えて彼の音声認証が追加されており、サリーが彼の要求が本物であると信じるには十分でした。テキストが送信されてから 16 分以内に、250 ポンドが私の個人口座に振り込まれました。

正直に言うと、ハリーのクローンの声が本物だとサリーを騙してすぐに信じ込ませるのがいかに簡単だったかに私はショックを受けました。

このレベルの操作が機能するのは、多くの説得力のある関連要因があるためです。

• 大統領の電話番号から彼の身元が確認された。
• 私が作り上げた物語はその日の出来事と一致していました。
• 音声メッセージは上司の声のように聞こえました。

会社とのブリーフィング中に、サリーは、リクエストは実行される前に非常に慎重に検討する必要があることを思い出しました。言うまでもなく、同社は資産を安全に保つためにさらなる安全対策を追加しました。もちろん250ポンドも返金しました！

WhatsAppビジネスシミュレーション

SIMスワップ攻撃によって他人のWhatsAppアカウントを盗むと、攻撃の信憑性が増し、想像以上に頻繁に発生します。さらに、サイバー犯罪者は悪意のある目的を達成するために多大な努力を払う必要がない場合がよくあります。

たとえば、私は最近、表面上は信じられそうな人物から攻撃を受けました。誰かが、IT 企業の幹部である私の友人を名乗って WhatsApp でメッセージを送信してきました。

ここで興味深いのは、私は情報を確認することに慣れているにもかかわらず、このメッセージは番号として表示されるのではなく、連絡先の名前がリンクされた状態で届いたことです。これは特に興味深いことです。なぜなら、私の連絡先リストにその番号が保存されておらず、名前ではなく携帯電話番号として表示されると思っていたからです。

どうやら、詐欺の方法は WhatsApp Business アカウントを作成するのと同じくらい簡単で、好きな名前、写真、メール アドレスを追加して、すぐに本物のように見せることができるようです。これに AI 音声クローンが加わり、ソーシャル エンジニアリングの新しい時代に入ったと言えます。

幸いなことに、私は最初からそれが詐欺だとわかっていましたが、多くの人がこの単純な詐欺に騙され、金融取引、プリペイドカード、または Apple Card というサイバー犯罪者のお気に入りの方法でお金を失うことになるかもしれません。

機械学習や人工知能の技術が急速に進歩し、一般の人々にとってより利用しやすくなるにつれ、犯罪者の身元や居場所を隠すのに役立つ既存のツールのすべてが改善されるなど、テクノロジーがこれまで以上に効果的にサイバー犯罪者を支援し始める新しい時代に入りつつあります。

安全のヒント

実験の要点に戻ると、音声クローン攻撃の被害に遭わないために企業経営者が取るべき基本的な予防策は次のとおりです。

• ビジネスポリシーを省略しないでください。
• 人とプロセスを確認します。たとえば、支払い要求を要求者に再確認し、送金には少なくとも 2 人の従業員の承認を得ます。
• 最新のテクノロジートレンドを常に把握し、それに応じてトレーニングと防御を更新します。
• 全従業員を対象に特別な/対象を絞った意識向上トレーニングを実施します。
• 複数層のセキュリティ ソフトウェアを使用します。
• SIM スワップ攻撃を防ぐためのヒントをいくつか紹介します。
• オンラインで共有する個人情報を制限します。可能であれば、住所や電話番号などの詳細を投稿しないでください。
• ソーシャル メディア上の投稿やその他の資料を閲覧できる人の数を制限します。
• フィッシング攻撃や、機密性の高い個人情報を騙し取ろうとするその他の行為に注意してください。
• モバイル プロバイダーが PIN やパスワードなど、モバイル アカウントに追加の保護を提供している場合は、必ずそれを使用してください。
• 2 要素認証 (2FA)、具体的には認証アプリまたはハードウェア認証デバイスを使用します。

実際、2FA を使用することの重要性は過小評価できません。WhatsApp アカウントや、2FA を提供するその他のオンライン アカウントでも必ず 2FA を有効にしてください。

オリジナルリンク: https://www.welivesecurity.com/en/cybersecurity/your-voice-is-my-password/