福岡・佐賀のニュース

【約10億件の情報漏洩に大手企業が続々！原因はシステムにあらず？】

「アサデス。ラジオ」火曜日（KBC）に出演した株式会社Fusic副社長の浜崎 陽一郎さんが、最新のセキュリティ脅威「ビッシング」詐欺について解説しました。

「ビッシング」とは、「ボイスフィッシング」の略で声によるフィッシング詐欺のこと＿＿。

今月上旬、アメリカの複数企業で、合計約10億件とも言われる個人情報漏洩が発覚しました。

日本ではあまりニュースになっていませんが、GoogleやFedEx、Hulu、トヨタのアメリカ法人といった大手企業が関わっている可能性があります。

特にアリアンツ生命では、社会保障番号を含む約140万件のデータ流出を公に認めているということです。

これら多数の企業で一斉に情報漏洩が起こった原因として、共通して顧客管理システムの世界最大手の一つであるSalesforceを使っていたことが判明しました。

しかし、Salesforceは「システムには何ら問題ない」と明確に声明を発表しています。

ではなぜ漏洩したのか。

そこで浮上したのが「ビッシング」の手口でした。

【「上司そっくりAI音声」で電話！社員を騙す巧妙な手口】

今回アメリカで確認されたのは、生成AIが悪用された極めて巧妙な「ビッシング」の手口でした。

生成AIが精巧に人の声を再現できることを悪用し、攻撃者は会社の上司になりすまします。

AIで上司そっくりの声を作り、「セキュリティに問題があるから、Salesforceにこのアプリを入れてくれ」と社員に電話で指示。

これを信じた社員がアプリをインストールしたところ、それがシステムに穴を開けるウイルスソフトでした。

このソフトを経由して、大量の個人情報が流出したということが確認されています。

【近藤AN「宮本さんの声なら入れちゃう！」なぜ大企業は騙された？】

これは、システムの弱点を突くのではなく、システムを扱う「人の行動」を操作してセキュリティを突破する「ソーシャルエンジニアリング攻撃」の一種です。

システムの穴がないことを確認したSalesforce側の主張とも合致します。

しかも今回のケースでは、電話のやり取りの全てをAIが行い、質問にも応答してくるため、被害者は上司本人からの指示と信じ込んでしまいました。

浜崎さんはこの恐怖を、身近な関係に置き換えて指摘します。

浜崎： 「 近藤さんも、宮本さん（宮本啓丞アナウンサー）から内線電話でかかってきて、「ちょっと相談あるんだけど」って宮本さんの声で言われてしまったら…。どうします？」

近藤AN： 「その相談、乗りますよね。「あ、この後、これをちょっと入れておいて」って言われたら、そう、入れちゃう！」

これほど大規模な企業が、この手口にまんまと引っかかってしまったわけです。

生成AIを使った声真似による大規模情報漏洩はこれが初めてとみられており、非常に大きな問題となっています。

【日本も対岸の火事ではない！「違和感で立ち止まる」ことが命綱】

浜崎さんは新しい手口のため明確な定義はありませんが、重要なのは「立ち止まる」ことだと言います。

通常と異なる重要な指示、例えばシステムアップデートなどを求められた場合は、「上司から口頭（電話）で言われたからすぐ実行すべきなのか」と一旦立ち止まり、手順を設けておくことが重要です。

また、いくらAIで精巧に作られていても、通話中に「この人、こんなこと言わないな」「いつもと声のトーンが違うな」といった違和感を感じた場合は、別の手段（メールやチャット、別回線の電話など）で必ず確認を取るようにしてください。

このAIによる声真似詐欺は、アメリカだけの問題ではなく、当然ながら日本でも起こり得るリスクです。

個人レベルにも波及する可能性はゼロではありませんので、十分な注意が必要です。