ビデオ会議の相手は知らない他人だった。香港で37億円のディープフェイク詐欺事件、被害を防止する3ヶ条

香港で、ビデオ会議を通じて、約37.5億円が詐取される事件が起きた。

本社のCFO（最高財務責任者）の顔と音声を使ったディープフェイクで支社の従業員に送金を指示する、という手口だった。専門家は、このような詐欺を防ぐために、ビデオ会議の際に予防となる習慣を励行すべきだと警告している。本記事では、事件の経緯と、専門家から送られた詐欺から身を守るための3つのアドバイスをご紹介する。

• keyboard_arrow_down 被害金額37億円超えの「ディープフェイク詐欺」
• keyboard_arrow_down 被害を未然に防ぐ3つのアドバイス
• keyboard_arrow_down ディープフェイク詐欺が鳴らす警鐘

コロナ禍以降、すっかり日常に浸透したビデオ会議。しかし、ディスプレイに映っているあなたの上司は、本当にあなたの上司だろうか。

香港では2024年1月末に、ビデオ会議を利用し、2億香港ドル（約37.5億円）が騙し取られるという事件が起きた。さらに香港の国会にあたる立法会では、同類の詐欺事件が3件起きていることが明らかになった。

社名は明かされていないが、英国に本社がある香港支社で事件は起きた。香港支社に勤めるある従業員が、英国本社のCFO（最高財務責任者）から1通のメールを受け取った。本社がある秘密の取引を開始していて、そのために香港支社の口座を操作しなければならないという内容だった。

この従業員は、そのメールの内容に不信感を覚えた。社員としてそんな秘密取引に関わって社内規則や法律に触れることはないのだろうか。さらには、そのメール自体がなりすましメールである可能性もあると考えた。そう思った従業員が直属上司に事件を相談しようとしたところ、すぐに「CFO」から次のメールが届いた。この件に関してビデオ会議を開くので参加をしてほしいという内容で、ビデオ会議のURLリンクがつけられていた。

従業員は、ビデオ会議で直接CFOに問いただせば不安は解消されると考え、ビデオ会議に参加した。その従業員は普段CFOと面識があり、当日ビデオ会議の画面に映ったのはCFO本人であることは明らかで、声も聞き覚えのあるものだった。さらに、ビデオ会議には他にも数人が同時に参加をしており、その中には香港支社から英国本社に移った同僚もいた。従業員は知っている顔を見て、秘密取引が本当のものであると信じ込んだ。

「CFO」は、秘密取引について説明し、香港支社の資金を5つの香港の銀行口座に送金するように命じた。従業員が確認をするために質問をすると、「CFO」は怒り出して「なぜ指示に従わないのか」と叱責を始めた。そして、時間がないため、すぐにでも資金を移すようにと告げて、ビデオ会議を一方的に終了してしまった。

ここで、従業員は上司に確認を取ればよかったのだが、本社CFOに叱責されたことで萎縮してしまったようで、言われたとおりに、2億香港ドルを5つの銀行口座に送金する手続きを実行した。

その後、「CFO」から何の連絡もないことから、従業員は不安に思い、ビデオ会議に出席していた元同僚にメールを送って確認したところ、元同僚はまったく知らない案件だと告げた。恐ろしくなった従業員は本社CFOに直接メールで問い合わせしたが、CFOはそんなビデオ会議を行った覚えはないという。結果、この送金は詐欺事件だった可能性があることから警察に通報。ただ時すでに遅し。資金は海外の口座に転送されていて、取り戻すことはできなかったのだ。

この事件は、ディープフェイク技術を使い、まったくの別人がビデオ会議で本社CFOになりすまして実行したものだった。CFOは会社のプロモーションとして、他のスタッフとともに対談番組を制作しYouTubeで公開していた。香港警務所では、このビデオ映像から顔と音声が学習され、ディープフェイク技術に使われたのではないかと見ている。事件は現在も捜査中で、犯罪集団は逮捕できていない。

立法会における保安局長の答弁によると、香港ではこの他にも2件のディープフェイク技術を使った詐欺事件が起きている。ひとつは2022年9月から2023年7月の間に起きたもので、消費者金融とのビデオ通話でディープフェイク技術を使い、他人の写真付き身分証を利用して持ち主になりすまし、次々と融資を受け、合計20万香港ドルを騙し取ったというものだ。2023年8月に、犯行に及んだ9人グループが逮捕されている。

もうひとつは2024年5月に起きたもので、前述の事件と同じビデオ会議の手口を使い、合計400万香港ドル（約7500万円）を騙し取ったものだった。この企業も、公式サイトにCFOが出演する動画が掲載されていて、犯行グループはそれを素材にして顔と声の学習をしたと見られている。こちらも捜査中で犯人は逮捕されていない。

この一連の犯行では、ディープフェイク技術をビデオ会議に組み合わせたというのがポイントになっている。大きな演算リソースを要求するため、ディープフェイク技術をリアルタイムに適応するのはまだ簡単ではなく、さまざまな綻びが見えることがある。顔の表情が固まったり、音声の応答がワンテンポズレることも多々ある。しかし、ビデオ会議であれば、被害者は一時的に回線状況が悪くなったと思い込むため不審に思われない。実際に対話していることも被害者に相手が本人だと信じ込ませやすい。同様の事件は、中国のほか地域でも起こるようになっていて、今後、ビデオ会議を日常的に利用するアジアの企業に広がっていくのではないかと懸念されている。

中国計算機学会の安全専業委員会デジタル経済・セキュリティーチームのメンバーである方宇氏は、報道番組の取材では詐欺から身を守るために3つのアドバイスを送っている。

①ビデオ会議を始める前に、顔の前に手をかざす習慣をつける

ディープフェイク技術は、リアルタイムで顔認識を行い、そこに偽装する対象の顔データを重ね合わせている。このため、本人が口を開ける、笑うなどの表情をしても、偽装対象の顔データもそれに合わせて表情を変えるため、あたかも対象者がビデオに映っているかのように見える。

そこで、ビデオ会議を始める前に、各参加者が自分の手で鼻と口を覆う動作をすることを習慣づけるといいという。鼻と口が隠されると顔認識の難易度が高まり、偽装対象の顔データを重ね合わせることが難しくなります。手を動かすにつれて、画像が不自然に歪むので、ディープフェイク技術を使っていることがわかるというものだ。

ただし、これはあくまでも現在のディープフェイク技術での話であり、遠くない将来には、手で顔をかざしても少数の認識点から顔全体を推測し、偽装対象の顔を表示し続けることができる技術が登場することが予見できるという。

②ビデオ会議には早めに入り、時間まで雑談をする

時間ぴったりに始まることが多いビデオ会議だが、少し早めに入り、時間がくるまで参加者と雑談をする習慣もつけるべきだという。

ディープフェイクを使って顔と声は偽装することができるが、本人の行動までは偽装できない。雑談の中でこれまでいっしょに行ったところなど、普段の行動を話題に出せば、相手が本人でなければ話についてくることができず、見分けることができるという。それはプライベートのお話だけでなく、関係性が遠い相手の場合、お仕事の話でも有効だという。 

③不必要な従業員の顔出しをしない

今回の37億円詐欺事件に関して、犯罪集団はネットで公開されている動画コンテンツから対象者の顔と音声データを取得しているという。近年では、企業の公式サイトや公式コンテンツに役員や従業員が出演することが増えている。まさにこのデータが悪用されているのだ。

経営者や、対外的な業務が多い営業職、企画職、広報などの場合は外部露出が必要な場合もあるが、間接部門の従業員が社外コンテンツに出演することに慎重であるべきだ。不要な従業員の顔出しを減らすことが最大の防御になるという。

日本でもすでに著名人の顔データ、音声データを使って、ディープフェイクビデオを制作し、出資詐欺などに利用する例が知られるようになった。すでにライブ配信などで、視聴者に了解を得た上で別人を装う例も見られている。

社内では社員証を首から下げることを習慣づけることが、不審者の侵入に対する大きな予防策だと言われている。その点、ビデオ会議はなりすましメールで会議室のURLを送れば、いくらでも不審者が参加できてしまう。ビデオ会議でも予防になる習慣づけをしておくことが重要になってきている。