サイバーセキュリティ企業Group-IBは、銀行口座へのアクセスに人々の顔を盗む最初のバンキングトロイの木馬を発見した。この攻撃では、被害者が個人IDと電話番号を提供し、顔のスキャンを行うように誘導される。その後、これらの画像はAIによって生成されたディープフェイクに置き換えられ、セキュリティチェックポイントを容易に突破する。この手法は、中国に拠点を置くハッキンググループによって開発され、今月初めにベトナムで被害者を悪意のあるアプリに誘い込み、顔スキャンを行わせた後、銀行口座から40,000ドル相当を引き出したとされる。
iProovの脅威インテリジェンスレポートによると、顔の入れ替えディープフェイク攻撃は2023年の前半と後半の間に704%増加した。また、ディープフェイクメディアの使用が672%増加し、エミュレータやスプーフィングツールを使用したデジタルインジェクション攻撃が353%増加した。ジェネレーティブAIは、脅威アクターの生産性を大幅に向上させている。Gartnerは、2026年までに30%の企業がバイオメトリックツールを単独で信頼しなくなると予測している。
Group I-Bの研究チームは、テキストメッセージを傍受し、顔認識データと身分証明書を収集することができる未知のトロイの木馬、GoldPickaxe.iOSを発見した。この情報を使用して、被害者の顔に合成された顔を入れ替えるディープフェイクを作成することができる。GoldPickaxe.iOSと類似のトロイの木馬やマルウェアは、主に高齢者をターゲットにしており、APAC地域を対象としているが、その活動範囲を拡大している兆候がある。
タイでは、GoldPickaxe.iOSはデジタルで年金を受け取ることができるとされるアプリとして偽装されていた。被害者は自分の写真を撮り、身分証明書の写真を撮るよう求められた。このビデオは、顔の入れ替えAIツールを通じてディープフェイクビデオを作成するための原材料として使用される可能性がある。
Group-IBは、バイオメトリック攻撃を避けるためのいくつかのヒントを提供している。これには、電子メール、テキストメッセージ、ソーシャルメディアの投稿にある怪しいリンクをクリックしない、アプリケーションをGoogle PlayストアやApple App Storeなどの公式プラットフォームからのみダウンロードする、新しいアプリをインストールする際に要求される権限を慎重に確認するなどが含まれる。
【ニュース解説】
バイオメトリックス、つまり生体認証技術は、そのユニークな特性から究極の認証手段とされてきました。しかし、最近の報告によると、顔や指紋、虹彩などの生体情報を盗み出し、被害者の銀行口座にアクセスする攻撃が増加していることが明らかになりました。サイバーセキュリティ企業Group-IBは、人々の顔を盗むことに特化した最初のバンキングトロイの木馬を発見し、この問題を浮き彫りにしました。
この攻撃では、被害者が個人IDと電話番号を提供し、顔のスキャンを行うように誘導されます。その後、これらの画像はAIによって生成されたディープフェイクに置き換えられ、セキュリティチェックポイントを容易に突破します。この手法は、中国に拠点を置くハッキンググループによって開発され、ベトナムで実際に被害者を悪意のあるアプリに誘い込み、銀行口座から大金を引き出す事件が発生しました。
このような攻撃の増加は、バイオメトリックスのセキュリティが以前考えられていたほど確実ではないことを示しています。実際、iProovの脅威インテリジェンスレポートによると、顔の入れ替えディープフェイク攻撃は2023年の前半と後半の間に704%増加しました。ジェネレーティブAIの進化により、これらの攻撃はより簡単かつ低コストで実行可能になっています。
この問題の深刻さを受け、Gartnerは2026年までに30%の企業がバイオメトリックツールを単独で信頼しなくなると予測しています。バイオメトリックスは、一度盗まれると変更が不可能なため、従来のログイン方法よりも危険であるとの指摘もあります。
対策として、Group-IBは、怪しいリンクをクリックしない、アプリケーションを公式プラットフォームからのみダウンロードする、新しいアプリをインストールする際に要求される権限を慎重に確認するなど、いくつかのヒントを提供しています。これらの対策は、バイオメトリック攻撃を避けるために有効ですが、技術の進化に伴い、常に新しい脅威が出現するため、ユーザーとしては警戒を怠らないことが重要です。
このニュースは、バイオメトリックスのセキュリティに対する新たな課題を浮き彫りにし、個人情報の保護とセキュリティ対策の強化の必要性を改めて示しています。また、技術の進化がもたらすリスクと対策の重要性を考える良い機会とも言えるでしょう。
from Face off: Attackers are stealing biometrics to access victims’ bank accounts.
