情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和6年度秋期 午前Ⅰ 問13: ディープフェイクを悪用した攻撃に該当するものはどれか。

問題本文

ディープフェイクを悪用した攻撃に該当するものはどれか。

選択肢

• ア.AI技術によって加工したCEOの音声を使用して従業員に電話をかけ，指定した銀行口座に送金するよう指示した。
• イ.企業のPCをランサムウェアに感染させ，暗号化したデータを復号するための鍵と引き換えに，指定した方法で暗号資産を送付するよう指示した。
• ウ.企業の秘密情報を含むデータを不正に取得したと誤認させる電子メールを従業員に送付し，不正に取得したデータを公開しないことと引き換えに，指定した方法で暗号資産を送付するよう指示した。
• エ.ディープウェブにて入手した認証情報でCEOの電子メールアカウントに不正にログインして偽りの電子メールを従業員に送付し，指定した銀行口座に送金するよう指示した。

正解

ア. AI技術によって加工したCEOの音声を使用して従業員に電話をかけ，指定した銀行口座に送金するよう指示した。

解説

ディープフェイクはAIで人物の音声や映像を本物そっくりに合成する技術で、悪用すると経営者などになりすまして指示を出せる。CEOの声を加工して従業員に電話し送金を指示する行為が該当しアが正解。BEC(ビジネスメール詐欺)の音声版ともいえ、声紋という従来信頼できた要素を偽れる点が脅威。実務ではコールバックや複数経路での承認など、人を欺く攻撃を前提とした手続的対策が有効である。

選択肢ごとの解説

• ア.AIで合成したCEOの音声でなりすまし送金を指示する行為で、ディープフェイク悪用に該当し正しい。
• イ.データを暗号化し復号鍵と引き換えに金銭を要求するランサムウェア攻撃で、ディープフェイクではない。
• ウ.情報窃取をかたり暴露しないことと引き換えに金銭を要求する脅迫(詐欺)で、音声・映像の合成は伴わない。
• エ.盗んだ認証情報での不正ログインによるなりすましメールで、AI合成を用いるディープフェイクとは異なる。