ハッカーがAIを「兵器化」してサイバー攻撃や詐欺を実行する傾向についてどう思いますか?

グエン・トゥアン・カン博士: IBMの2024年X-Force脅威インテリジェンス・インデックスによると、ベトナムを含むアジア太平洋地域は、2023年に世界で最も多くのサイバー攻撃を受ける地域です。その中でも、サイバー攻撃の影響を最も受けている業界は製造業です。

犯罪者の主な手口は、依然として脆弱な人々を狙ったフィッシング攻撃と、脆弱性を悪用してマルウェアをインストールすることです。さらに、2024年には人工知能(AI)を活用したサイバー攻撃が新たなトレンドとなるでしょう。

Wired のレポートでは、多くの悪意のある人物が生成 AI を使用してハッキングを誘導したり、不正なチャットボットを作成したり、ディープフェイクを使用して他人の顔や声の偽の画像や動画を作成したりしていると指摘しています。

しかし、このトレンドに伴い、情報セキュリティシステムにもWatsonXなどのAI機能が統合され始めています。人工知能は活用できるだけでなく、分析、監視、番号識別、攻撃シナリオの予測などにおいて人間に取って代わることも可能であり、防御力の向上と情報セキュリティリスクの最小化につながります。

W-nguyen-tuan-khang-ibm-1.jpg
サイバーセキュリティ専門家グエン・トゥアン・カン氏。写真: チョン・ダット

ディープフェイク詐欺はますます蔓延しています。AIの急速な発展に伴い、これらの攻撃は将来どれほど危険なものになるのでしょうか?

グエン・トゥアン・カン博士:ディープフェイクとは、ハッカーが偽のデジタルIDを作成し、他人になりすますことを可能にする技術です。この技術はますます高度化しているため、ディープフェイクは危険な問題となるでしょう。

ディープフェイクに対抗するには、まず、人物の画像や音声がAIによって生成されたものかどうかを判断する必要があります。攻撃者が常に新しいモデルを開発しているため、ディープフェイクを即座に検出できる汎用ツールは現時点では存在しません。

ディープフェイク検出に加えて、行動分析技術を活用するという対策もあります。組織的およびビジネス的な観点からは、これら2つの技術を組み合わせたシステムを開発する必要があります。

最近、ハッカーが企業のシステムに密かにマルウェアを仕掛けるサイバー攻撃が発生しています。マルウェアは待ち伏せしてあらゆるアクティビティを分析し、偽のアイデンティティを作り出して悪意ある行為を実行します。ディープフェイク技術の発展とAIによる動画作成能力の発達により、この種の攻撃は今後、さらに危険なものとなるでしょう。

ディープフェイクを使ったサイバー攻撃が激化する中、高齢者や子ども、その他の脆弱な立場にある人々を詐欺師からどのように守ることができるでしょうか?

グエン・トゥアン・カン博士:高齢者や子供たちは、ソーシャルエンジニアリングと呼ばれる手法を使った詐欺師の攻撃を受けることが多いです。これは、人間の行動を操作して攻撃を行う手法を指します。

ハッカーは、AIとデータ収集、マイニング、分析を組み合わせて、詐欺の被害に遭いやすい人物を特定し、攻撃方法を見つけることができるようになりました。コミュニティ内での意識向上に加え、ユーザーが詐欺に遭う状況が発生する可能性を認識し、テクノロジーを活用してそれを検知・防止する必要があります。

W-オンライン詐欺-1.jpg
タンルオン区警察署( ハノイ)は、警察官を装って送金詐欺を行う事件について警告している。写真:トロン・ダット

最近、銀行員が送金に来た老婦人に詐欺の兆候があると疑い、すぐに取引を中止し、当局に通報したという事件がありました。銀行のITシステムには、このような業務を人間に代わる技術が備わっているのです。

テクノロジーの役割は、送信者が本人であると判明していても、他人が不正に操作している疑いがある場合、システムがそのような行為を阻止することです。このようなツールは、詐欺・偽造防止システムと呼ばれます。

ベトナムはAIを管理するための制裁を設け、AIの研究、開発、使用を枠組みに組み込むべき時ではないでしょうか?

グエン・トゥアン・カン博士: AI管理に対する制裁措置については長年議論されてきましたが、依然として多くの議論が続いています。例えば、私の地域の駐車場にはナンバープレートを認識するAIシステムが導入されていますが、それでも盗難が発生しました。当時、誰が責任を負うべきかという議論が巻き起こりました。アパートの所有者、警備員、それともAIシステムを開発した部門のいずれが責任を負うべきなのでしょうか?

その後、建物は規則を変更し、住民は利便性のためにAIによるナンバープレート認識を選択できるものの、リスクを受け入れる必要があるとしました。同意する住民は自動ドアを利用できますが、同意しない住民は従来の方法で駐車する必要があります。このような罰則が必要です。

同様に、IBMはかつてがん予防を支援するAIシステムを開発しました。システムが薬を処方したにもかかわらず、患者が服用しても救命できない場合、それは医師の責任でしょうか、それともAIの責任でしょうか?

AI規制は、AIアプリケーションの開発において何ができて何ができないかを明確に規定し、具体的な内容にする必要があると思います。世界をより安全にするために、私たちが実施できる最も基本的な規制は、大口送金に生体認証を義務付けることです。そうすれば、個人情報を紛失したとしても、金銭的な損失を完全に回避できます。

ありがとうございます。

ディープフェイク詐欺、偽顔、偽音声は2024年に増加VSECの予測によると、顔や音声を偽造するディープフェイク詐欺など、AIを使ったサイバー攻撃は2024年に増加すると予想されています。