보안(안보) AI時代の「サイバー詐欺」から身を守る6つの対策。元ハッカーのセキュリティ専門家がアドバイス（海外）

[お持て成し]

AI時代の「サイバー詐欺」から身を守る6つの対策。元ハッカーのセキュリティ専門家がアドバイス（海外）/ 1/5(月) / BUSINESS INSIDER JAPAN

ポッドキャストで語るサイバー犯罪専門家のブレット・ジョンソン氏。彼は元ハッカーで現在はコンサルタントとしてシークレットサービスなどに協力している。

ブレット・ジョンソン氏はシークレットサービスのコンサルタントになる前、個人情報の窃盗で生計を立て、何百万ドルも稼いでいた。彼が最も警戒する新たなサイバー脅威は、ディープフェイク、詐欺ファーム（工場）、合成IDの3つだ。これらはすべて、AIによって支えられている。彼は、信用情報アクセスのロック、不正を早期に察知するためのアラート設定など、詐欺から身を守る6つの対策を提案している。
ブレット・ジョンソン（Brett Johnson）氏は10年以上にわたり、さまざまなITシステムに侵入し、個人情報を盗み、盗んだクレジットカード情報をダークウェブで売りさばいてきた。彼は何百万ドルも盗んだが、なかでも税還付金を狙った個人情報の窃盗では月に10万ドル（約1560万円、1ドル＝156円）超を稼ぐことも珍しくなかった。

【全画像をみる】AI時代の「サイバー詐欺」から身を守る6つの対策。元ハッカーのセキュリティ専門家がアドバイス

現在はセキュリティ・コンサルタントとして、かつて自らが行っていたサイバー犯罪を食い止めるために、シークレットサービスや民間企業と活動している。

彼は最近のインタビューで、Business Insiderのカーター・サロン（Carter Thallon）記者に対し、自身が加担した犯罪の世界がより見えにくく、ほぼ阻止不可能なものへと変化しつつあると語った。

問題は、サイバー犯罪の組織化が加速していることだと彼は言う。サイバー犯罪の“次の波”は、AI（人工知能）で動く一連のオペレーションによって生み出される。そこでは、機械が詐欺文面を書き、証拠を捏造（ねつぞう）し、さらには被害者とリアルタイムで会話まで行うようになるという。

彼が最も警戒している3つの新たなサイバー脅威について解説しよう。

1. ディープフェイク映像で39億円送金詐欺
ジョンソン氏によると、実在の人物と見分けがつかないほど巧妙に模倣されたディープフェイクが、オンライン詐欺の中核を占めるようになるという。

犯罪者たちはすでに、音声メッセージの偽造や、ライブのビデオ通話を偽装するためにディープフェイクを使っている。近い将来、このテクノロジーによって、オンライン上で見聞きすることを信用できなくなるだろうと、ジョンソン氏は語った。

「私があなたを騙すためにはまず、あなたに私を信用してもらわなければならない」と彼は言う。しかし、ディープフェイクなら、犯罪者はすでにあなたに信頼されている人物になりすますことができる。信用を得るための手間を事実上省き、あなたを被害に遭わせるまでのプロセスを加速できるのだ。

例えば2024年、シュバム・アガルワル（Shubham Agarwal）記者は、ある経理担当者が騙され、総額2500万ドル（約39億円）を超える海外送金を承認してしまった事例をBusiness Insiderで報じた。その担当者はビデオ通話で送金の指示を受けた。しかし、その通話には所属組織のCFO（最高財務責任者）をはじめ実在の同僚たちを再現したディープフェイク映像が使われていたことが判明した。

「私たちは、オンライン環境で目にするものや耳にするものを一切信用できなくなる段階に近づいている。それは本当に危険だ」と彼は述べた。

話し方のクセを模倣し、現実と見分けがつかない顔をつくり出し、ターゲットの性格に合わせた文章を書けるAIツールの存在に加え、その処理の速さによって、そうした脅威はさらに増幅されている。

2. 企業のように組織化された「詐欺工場」
詐欺師が単独で行動する時代はもう終わった、とジョンソン氏は言う。いまや「詐欺ファーム（工場）」が新たなスタンダードになりつつある。

詐欺工場は、大勢の労働者──その多くは人身売買の被害者だったり、強制労働を強いられたりしている──が詰め込まれた建物だ。そこでは複数の詐欺が同時並行で行われている。

そうした組織の中には、長期的な関係を装って被害者の貯蓄を吸い上げる「pig butchering（豚の屠殺）」と呼ばれる恋愛詐欺を専門にしているところもある。

その手口の被害に遭ったのが、アフメット・トザル（Ahmet Tozal）氏だ。彼は最近、オンライン上で知り合った女性だと思っていた相手との関係について、Business Insiderのマシュー・ロー（Matthew Loh）記者に語った。

その女性は数週間にわたって、実在しない暗号通貨に彼の年収を超える額を投資するよう彼に勧め続けた。騙された彼は最終的に、家族を養うためより高い収入を得る必要に迫られ、トルコからウズベキスタンに1人で移住せざるを得なくなった。

こうした詐欺工場は、労働者がシフト制で働き、監督者が全体を管理するなど組織化されたビジネスとして運営されている。「私が1990年代から2000年代初頭にかけて詐欺をしていた当時は、そんな手法はなかった」とジョンソン氏は語った。

「当時も犯罪者同士が協力し、協同組合のような緩やかなネットワークを築くことはあった。しかし、いまはその頃とは比べ物にならないほど組織化されている」と彼は付け加えた。

3. なりすまし犯罪「合成ID詐欺」の台頭
ディープフェイクを支えているのと同じ自動化技術が、なりすまし詐欺を新たなレベルへと押し上げている。

ジョンソン氏は、実在する個人の情報と偽の情報を組み合わせて、新たなデジタル上の人物をつくり出す「合成ID詐欺」を、世界で最も多いID窃盗犯罪の手口だと指摘する。

特に深刻なのは「合成ID詐欺ではそもそも実在しない人物のIDが使われるため、不正の実態がほとんど表面化しない」ことだという。そして「口座開設を狙った詐欺の80%が、合成ID詐欺によるものだ。ほかに、クレジットカードのチャージバック（カード保有者が不正請求だと申し立てた結果、決済が差し戻されてお金が戻ること）全体の20%、クレジットカード債務全体の5%が、合成ID詐欺にも関与している。その規模は非常に大きい」と付け加えた。

いったん偽のIDで信用情報が確立されると、それを使って銀行口座を開設したり、ローンを申請したり、マネーロンダリングの手段として利用されてしまう。その口座が消滅したあとになって初めて、銀行が詐欺に気づくことも珍しくない。

合成IDが今後も増え続けると、詐欺を見抜くことは飛躍的に難しくなる可能性がある。

詐欺から身を守る6つの対策
詐欺はいま、かつてないほど簡単に実行できるようになっている。

「犯罪者はもはや、犯罪のあらゆる仕組みを理解する必要はない。すぐにチュートリアルを購入したり、ライブ形式の指導講座を受けたり、必要なものをすべてオンラインで購入したりして、すぐに犯罪を成功させて利益を上げることができてしまう」とジョンソン氏は語る。

だからこそ、自分自身を守る方法を知っておくことが重要だ。

ジョンソン氏は2025年初め、Business Insiderのマンシーン・ローガン（Manseen Logan）記者に、ハッキング被害のリスクを下げる6つの方法を明かした。彼の言う「すべての人が実行すべき対策」を紹介しよう。

1．オンラインでは常に警戒心を持つべし：どのオンラインプラットフォームにも、“カモ”を狙う存在がいると認識すべきだ。
2．自分だけでなく、同居する家族全員が個人信用情報にロック（credit freeze）をかけるべし：これによって、第三者が新規与信目的で信用情報にアクセスしようとしてもそれが不可能になるため、口座開設を狙った詐欺を即座に阻止することができる。
3．金融関連アカウントには可能な限りアラートを設定すべし：これによってアカウントが使用されるたびにすぐ把握できるようになる。
4．パスワードは適切に管理すべし：各アカウントで同じパスワードを使い回してはならない。
5．多要素認証を設定すべし：複数の対策を併用すれば、セキュリティを大幅に強化することができる。
6．SNSで共有する内容には注意を払うべし：誕生日や母親の旧姓といった個人情報は簡単に収集され、ハッキングに悪用される可能性がある。

Carter Thallon,Jessica Orwig

https://news.yahoo.co.jp/articles/961ce526f0ea9da5ce36afc5acc8845311937fcb?page=1

AI時代の「サイバー詐欺」から身を守る6つの対策。元ハッカーのセキュリティ専門家がアドバ

AI 시대의 「사이버 사기」로부터 자신을 지키는 6개의 대책. 해커 출신 보안전문가가 조언(해외) / 1/5(월) / BUSINESS INSIDER JAPAN 

팟캐스트에서 말하는 사이버 범죄 전문가 브렛 존슨 씨. 그는 전직 해커로 현재 컨설턴트로서 시크릿 서비스 등에 협력하고 있다.

브렛 존슨 씨는 시크릿 서비스 컨설턴트가 되기 전 개인정보 절도로 생계를 이어가며 몇 백만 달러를 벌었다. 그가 가장 경계하는 새로운 사이버 위협은 딥페이크, 사기팜(공장), 합성ID 등 3가지다. 이들은 모두 AI에 의해 뒷받침되고 있다. 그는 신용정보 접근 잠금, 부정을 조기에 감지하기 위한 경보 설정 등 사기로부터 자신을 보호하는 6가지 대책을 제안하고 있다.

브렛 존슨(Brett Johnson) 씨는 10년 넘게 각종 IT 시스템에 침입해 개인정보를 빼내 훔친 신용카드 정보를 다크웹에서 팔아왔다. 그는 몇 백만 달러나 훔쳤지만, 그 중에서도 세금 환급금을 노린 개인 정보의 절도로는 한 달에 10만 달러(약 1560만엔, 1달러=156엔) 이상을 버는 일도 드물지 않았다.

현재는 보안 컨설턴트로서 과거 자신이 했던 사이버 범죄를 막기 위해 시크릿 서비스 및 민간 기업과 활동하고 있다.

그는 최근 인터뷰에서 비즈니스 인사이더 카터 살롱(Carter Thallon) 기자에게 자신이 가담한 범죄의 세계가 더 잘 보이지 않고 거의 저지 불가능한 것으로 변하고 있다고 말했다.

문제는 사이버 범죄의 조직화가 가속화되고 있다는 것이라고 그는 말한다. 사이버 범죄의 "다음의 물결"은, AI(인공지능)로 움직이는 일련의 오퍼레이션에 의해서 만들어진다. 거기서는, 기계가 사기 문면을 쓰고, 증거를 조작해, 심지어는 피해자와 실시간으로 대화까지 실시하게 된다고 한다.

그가 가장 경계하고 있는 세 가지 새로운 사이버 위협에 대해 해설한다.

1. 딥페이크 영상으로 39억엔 송금사기

존슨 씨에 따르면 실존 인물과 구분할 수 없을 정도로 교묘하게 모방된 딥페이크가 온라인 사기의 핵심을 차지하게 된다고 한다.

범죄자들은 이미 음성메시지 위조나 라이브 영상통화를 위장하기 위해 딥페이크를 사용하고 있다. 가까운 미래에 이 기술로 인해 온라인에서 보고 듣는 것을 믿을 수 없게 될 것이라고 존슨 씨는 말했다.

"내가 당신을 속이려면 먼저 당신이 나를 신뢰해야 한다"고 그는 말한다. 하지만 딥페이크라면 범죄자는 이미 당신에게 신뢰받는 인물이 될 수 있다. 신용을 얻기 위한 노력을 사실상 생략하고 당신을 해치기까지의 과정을 가속화할 수 있다.

예를 들어 2024년 슈밤 아가르왈(Shubham Agarwal) 기자는 한 경리 담당자가 속아서, 총액 2500만 달러(약 39억엔)가 넘는 해외 송금을 승인해 버린 사례를 비즈니스 인사이더에 보도했다. 그 담당자는 영상 통화로 송금 지시를 받았다. 그러나 해당 통화에는 소속 조직 CFO(최고재무책임자)를 비롯한 실제 동료들을 재현한 딥페이크 영상이 사용된 것으로 드러났다. 

"우리는, 온라인 환경에서 보는 것이나 듣는 것을 일절 믿을 수 없게 되는 단계에 가까워지고 있다. 그것은 정말 위험하다"고 그는 말했다.

말투의 버릇을 모방해 현실과 분간할 수 없는 얼굴을 만들어내고, 타겟의 성격에 맞춘 문장을 쓸 수 있는 AI 도구의 존재에 더해 그 처리 속도에 따라 그러한 위협은 더욱 증폭되고 있다. 

2. 기업처럼 조직화된 '사기 공장'

사기꾼이 단독으로 행동하는 시대는 이제 끝났다고 존슨 씨는 말한다. 이제 '사기 팜(공장)'이 새로운 표준이 되고 있다.

사기 공장은, 많은 노동자 ―― 그 대부분은 인신매매의 피해자이거나, 강제 노동을 강요당하고 있다 ―― 가 채워진 건물이다. 거기에서는 복수의 사기가 동시 병행으로 행해지고 있다.

그런 조직 중에는 장기적인 관계를 가장해 피해자의 저축을 빨아올리는 "pig butchering(돼지 도살)"으로 불리는 연애 사기를 전문으로 하는 곳도 있다.

그 수법의 피해를 당한 것이, 아흐메트·토잘(Ahmet Tozal) 씨다. 그는 최근 온라인상에서 알게 된 여자인 줄 알았던 상대와의 관계에 대해 비즈니스 인사이더 매튜 로(Matthew Loh) 기자에게 말했다.

그 여자는 몇 주에 걸쳐 실재하지 않는 암호화폐에 그의 연봉을 넘는 금액을 투자하도록 그에게 계속 권했다. 속은 그는 결국 가족을 부양하기 위해 더 높은 수입을 얻을 필요가 있어 터키에서 우즈베키스탄으로 혼자 이주할 수밖에 없게 됐다.

이들 사기 공장은 근로자가 시프트제로 일하고 감독자가 전체를 관리하는 등 조직화된 비즈니스로 운영되고 있다. 「내가 1990년대부터 2000년대 초에 걸쳐 사기를 치고 있던 당시에는, 그런 수법은 없었다」라고 존슨 씨는 말했다.

당시에도 범죄자들끼리 협력해 협동조합 같은 느슨한 네트워크를 구축한 적은 있었다. 하지만 지금은 그 시절과 비교할 수 없을 정도로 조직화돼 있다고 그는 덧붙였다. 

3. 사칭 범죄 "합성 아이디 사기" 대두

딥페이크를 떠받치는 것과 같은 자동화 기술이 사칭 사기를 새로운 수준으로 끌어올리고 있다.

존슨 씨는 실제 개인정보와 가짜 정보를 결합해 새로운 디지털 인물을 만들어내는 합성 ID 사기를 세계에서 가장 많은 ID 절도 범죄 수법이라고 지적한다. 

특히 심각한 것은 「합성 ID 사기에서는 원래 실재하지 않는 인물의 ID가 사용되기 때문에, 부정의 실태가 거의 표면화되지 않는다」라는 것이라고 한다. 그는 계좌 개설을 노린 사기의 80%가 합성 ID 사기에 의한 것이다. 이 밖에 신용카드 충전백(카드 보유자가 부정청구라고 신청한 결과 결제가 반려돼 돈이 돌아오는 것) 전체의 20%, 전체 신용카드 채무의 5%가 합성 ID 사기에도 관여하고 있다. 그 규모는 매우 크다고 덧붙였다. 

일단 가짜 아이디로 신용정보가 확립되면 이를 이용해 은행 계좌를 개설하거나 대출을 신청하거나 돈세탁 수단으로 이용된다. 그 계좌가 소멸된 후에야 은행이 사기를 알아차리는 일도 흔하다. 

합성 ID가 앞으로도 계속 증가하면 사기를 간파하는 것은 비약적으로 어려워질 가능성이 있다.

◇ 사기로부터 자신을 보호하는 6가지 대책

사기는 지금 그 어느 때보다 쉽게 실행할 수 있게 되어 있다.

범죄자는 더 이상 범죄의 모든 구조를 이해할 필요가 없다. 바로 튜토리얼을 구입하거나 라이브 형식의 지도 강좌를 듣거나 필요한 것을 모두 온라인으로 구입하거나 해서 바로 범죄를 성공시켜 이익을 올릴 수 있게 된다」라고 존슨 씨는 말한다.

그렇기 때문에 자기 자신을 지키는 방법을 알아두는 것이 중요하다.

존슨 씨는 2025년 초 비즈니스 인사이더의 맨신 로건(Manseen Logan) 기자에게 해킹 피해 위험을 낮추는 6가지 방법을 밝혔다. 그가 말하는 '모든 사람이 실행해야 할 대책'을 소개하겠다.

1. 온라인에서는 항상 경계심을 가져야 한다 : 어떤 온라인 플랫폼에도, "봉"을 노리는 존재가 있다고 인식해야 한다.
2. 자신뿐만 아니라 동거하는 가족 모두가 개인신용정보에 잠금(credit freeze)을 할 것 : 이로 인해 제3자가 신규여신 목적으로 신용정보에 접근하려 해도 그것이 불가능하므로 계좌개설을 노린 사기를 즉시 막을 수 있다.
3. 금융관련 계정에는 가능한 경보를 설정해야 한다 : 이를 통해 계정이 사용될 때마다 즉시 파악할 수 있게 된다.
4. 패스워드는 적절히 관리할 것 : 각 어카운트에서 같은 패스워드를 사용해서는 안 된다.
5. 다요소 인증을 설정해야 한다 : 여러 대책을 병용하면, 보안을 대폭 강화할 수 있다.
6. SNS에서 공유하는 내용을 주의해야 한다 : 생일이나 어머니의 옛 성(일본은 결혼후 남편의 성으로 변경함)  같은 개인정보는 쉽게 수집되고 해킹에 악용될 수 있다.

Carter Thallon,Jessica Orwig