顔認識は終わったのか？最初の「顔ハイジャック」型バンキングトロイの木馬が誕生

各人の顔、指紋、虹彩の情報はそれぞれ固有であり偽造が困難であるため、生体認証は長年にわたり究極の本人確認手段として推進されてきました。しかし、人工知能技術の爆発的な発展により、生体認証技術、特に顔認識技術は大きな脅威に直面しています。

最近、サイバーセキュリティ企業 Group-IB は、顔（認識データ）を盗むことができる初のバンキング型トロイの木馬プログラムを発見しました。このプログラムは、ユーザーの個人識別情報や電話番号、顔スキャン情報を盗むために使用されました。これらの画像はその後、銀行アプリの顔認識認証を簡単に回避できる AI 生成のディープフェイク画像に置き換えられました。

研究者らは、今月初めにベトナムで「顔ハイジャック」トロイの木馬が使用され、攻撃者が被害者を悪質なアプリに誘い込み、顔をスキャンさせ、銀行口座から約4万ドルを引き出したことを明らかにした。

Group-IBのアジア太平洋脅威情報チームのマルウェアアナリスト、シャーミン・ロー氏はブログ投稿で次のように明らかにした。「ハッカーらは顔認識データを収集するために特別に設計された新しいマルウェアファミリーを開発した。また、被害者が銀行のコールセンターを装ったサイバー犯罪者と直接通信できるツールも開発した。」

防ぐのが難しい「顔ハイジャック」トロイの木馬攻撃

Group-IB の研究チームが最近発見した「人の顔を乗っ取る」ことができる新しいトロイの木馬プログラムは、コード名 GoldPickaxe.iOS です。これは特に iOS ユーザーをターゲットにしており、テキスト メッセージを傍受し、顔認識データや身分証明書を収集することができます。ハッカーはこの機密情報を利用してディープフェイクを作成し、合成顔を被害者の顔に置き換え、被害者の銀行口座に不正アクセスする可能性があります。

研究者らは、GoldPickaxe は GoldFactory と呼ばれる中国の大規模なハッカー集団によって開発されたと指摘しています。この集団が以前開発した Android バンキング型トロイの木馬 GoldDigger がベースになっています。GoldPickaxe は、このトロイの木馬シリーズで iOS デバイスをサポートする最初の亜種です (以前は Android デバイスのみをサポートしていました)。

GoldFactory トロイの木馬の進化のタイムライン

GoldPickaxe.iOS の配布スキームは特に注目に値します。ハッカーは当初、マルウェアを配布するために Apple のモバイル アプリ テスト プラットフォーム TestFlight を使用していたからです。 TestFlight によって阻止された後、ハッカーたちは、被害者にモバイル デバイス管理 (MDM) プロファイルをインストールするよう説得する、より洗練された多段階のソーシャル エンジニアリング手法に切り替えました。これにより、ハッカーは被害者のデバイスを完全に制御できるようになります。

GoldFactory の一般的な攻撃戦術は、SMS 爆撃とフィッシング技術を組み合わせて使用​​することであり、多くの場合、政府サービスのエージェント (タイのデジタル年金やベトナム政府情報ポータルなどのタイ政府サービスを含む) を装います。トロイの木馬は現在アジア太平洋地域の高齢者をターゲットにしているが、同グループが他の地域にも拡大している「兆候」があると研究者らは述べている。

銀行アプリの悪夢

現在、タイでは、ワンタイムパスワード（OTP）ではなく顔認識による大口銀行取引（5万バーツ以上）の確認がユーザーに義務付けられているため、「顔ハイジャック」トロイの木馬攻撃の成功率が高くなっています。同様に、ベトナム国家銀行は今年4月からすべての送金に顔認証を義務付ける意向を表明した。

タイでは、ハッカーが GoldPickaxe.iOS を年金徴収アプリに偽装した。被害者はアプリを使用する際に自分自身の写真と身分証明書の写真を撮るよう求められます。 iOS 版では、フェイスハイジャック型トロイの木馬は、瞬き、笑顔、頭を左右に回す、うなずく、口を開けるなどの顔情報の収集指示を被害者に送信します。

盗まれたユーザーの顔動画は、顔を変えるAIツールの原材料として使用され、ディープフェイク動画が作成された。ハッカーはこれを利用して、簡単に被害者になりすまして銀行のアプリケーションに侵入した。

「この手法は、被害者の顔の包括的な生体認証プロファイルを作成するためによく使用され、他の詐欺キャンペーンでは見られなかった新しい手法である」と研究者らは指摘した。

顔認識は本当に終わったのか？

「顔ハイジャック」トロイの木馬の出現は、生体認証の脅威が現実のものとなったことを示しています。 iProov が発表した最新の脅威インテリジェンスレポートによると、顔を変えるディープフェイク攻撃は 2023 年に 704% 増加しました。生体認証企業では、なりすましツールが使用するディープフェイクメディアが672%増加し、エミュレーター（ユーザーのデバイスを模倣する）や不正コンテンツを使用したデジタルインジェクション攻撃が353%増加したことも確認した。

iProovの最高科学責任者アンドリュー・ニューウェル氏は、生成AIによってハッカーの「生産性レベル」が大幅に向上したと語った。 「これらのツールは比較的低コストで、簡単に入手でき、顔の入れ替えやその他のディープフェイクなど、人間の目や時代遅れの生体認証ソリューションを簡単に騙すことができる非常に説得力のある合成メディアを作成するために使用できます」と彼は指摘した。

ガートナーは、2026 年までに 30% の企業が生体認証ツールの信頼性を信頼しなくなると予測しています。 「本物と偽物の区別が難しいディープフェイクの急増により、企業は（生体認証による）本人確認および認証ソリューションの信頼性に疑問を抱き始めるかもしれない」とガートナーのアナリスト、アキフ・カーン氏は述べた。

さらに、生体認証は従来のログイン方法よりも危険であると考える人もいます。ユーザー固有の生体認証は、パスワードやパスキーのように変更できないため、一度盗まれると永久に公開され、無効になる可能性があります。

生体認証攻撃から身を守る方法

Group-IB は、ユーザーが生体認証攻撃を回避するために役立つ次のようないくつかの推奨事項を提供しています。

• 電子メール、テキスト メッセージ、ソーシャル メディアの投稿内の疑わしいリンクをクリックしないでください。
• Google Play ストアや Apple App Store などの公式プラットフォームからのみアプリをダウンロードしてください。
• サードパーティのアプリをダウンロードする必要がある場合は、「注意して進めてください」。
• 新しいアプリをインストールするときに要求される権限を慎重に確認し、アクセシビリティ サービスが要求される場合には「特に注意」してください。
• 不明なユーザーをソーシャル アプリに追加しないでください。
• 疑問がある場合は、モバイル画面の銀行アラートウィンドウをクリックするのではなく、銀行に直接電話してください。

さらに、セキュリティの専門家は、マルウェア感染の兆候がないか携帯電話を監視するようユーザーにアドバイスしています。

• バッテリーの消耗が早い、パフォーマンスが低い、データ使用量が異常、または過度の発熱（マルウェアがバックグラウンドで実行され、リソースを消費している可能性があることを示しています）。
• ダウンロードもインストールもされていない見慣れないアプリケーションの出現 (一部のマルウェアは正規のアプリケーションを装っています)。
• 一部のアプリでは突然権限が増加しました。
• 電話が勝手に電話をかけたり、同意なしにメッセージを送信したり、入力なしにアプリにアクセスしたりするなどの奇妙な動作。