{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
世界経済フォーラム(World Economic Forum)は2024年1月に公開した「グローバルリスク報告書2024年版(The Global Risks Report 2024)」*1において、世界中の学術界、財界、政界のリーダーが今後2年間に予想する最も深刻なリスクとして「誤報と偽情報」を挙げました。生成AIの登場によって容易に生成できるようになった偽造情報や合成コンテンツが、経済に損害を与え、社会を分断すると予想しています。
2024年は、米国をはじめ世界各国で選挙が実施される選挙イヤーです。デジタル空間を通じて偽情報を拡散することで選挙に影響を及ぼそうとする情報戦に対しての警戒感が高まっています。しかし、世界経済フォーラムが警告しているように、偽情報の標的となるのは政治や社会だけでなく、経済を支える企業も含まれます。
本稿では、企業を取り巻く偽情報の脅威動向を整理した上で、PwCがサイバーインテリジェンスアドバイザリーを提供してきた経験を踏まえ、各企業のCSIRTが取り組むべき偽情報対策について解説します。
偽情報の定義
はじめに、偽情報の定義を整理します。日本では「フェイクニュース」と呼ばれることが多いですが、諸外国では「Disinformation」と呼ばれています。その定義は、誤った情報や誤解を導くような情報である「Misinformation」「Malinformation」と比較して、以下のように区別されます*2(図表1)。
- Misinformation(誤報)・・・誤った内容ではあるが、損害を与える意図で作成されたものではない情報(例:文脈上誤認された情報や誤って結合された情報)
- Disinformation(偽情報)・・・個人、社会集団、組織または国家に損害を与える目的で意図的に作成された虚偽の情報(例:意図的に一部が変更されたり、完全に捏造されたりした情報)
- Malinformation(悪意の情報)・・・事実に基づくが、個人、組織または国家に損害を与える目的で使用される情報(例:機密情報のリークやヘイトスピーチ)
偽情報は、正しい情報よりも約6倍も速く拡散することが明らかになっています*3。そのうえ、日本人は海外の人と比べて、疑わしい情報を入手した際にその真偽を確かめる人が少ないという調査結果もあります*4。今後、国内において偽情報の流通が増えた時、その拡散を阻止するのは簡単ではありません。
企業に対する偽情報の脅威
EUのサイバーセキュリティ機関ENISAの偽情報に関する報告書*5を参考に、企業に対する偽情報(Disinformation)の脅威を主体、動機、影響という3つの要素に分解すると、図表2のように整理できます。
企業は、さまざまな動機を持った国家/非国家アクター、またはそれらに代わって活動する代理アクターによる偽情報活動の標的となります。これまでに企業を襲った偽情報を上記のフレームワークに沿って分析すれば、企業が多様な偽情報の脅威に晒されていることは明らかです(図表3)。
偽情報は、企業のレピュテーション、財務、可用性に損害を与えますが、それらは必ずしも個別に発生するものではありません。偽情報によって企業の信頼性やイメージが損なわれれば、商品の買い控えが発生して売上や株価が下落する可能性があります。さらに、金銭的な損失は事業計画の見直しを強いるおそれも考えられます。
生成AIの台頭によって高度化する偽情報
昨今の生成AIの急速な普及は、偽情報の増加に拍車をかけています。ニュース・情報サイトの信頼性評価などに取り組むNewsGuardによると、生成AIによって作成された記事を掲載しているニュース・情報サイトの件数は2023年5月から2024年4月にかけて約16倍に増加しています*6。
生成AIが創作する文章や画像の精度は向上しており、生成AIを使って作成されたものだと判別することは困難です。生成AIによって作成されたフィッシングメールの71%は悪性のものとして検出されていません*7。生成AIによって作成された人の顔の画像を人間は約60%の精度でしか判別できなかったという研究もあります*8。
生成AIを悪用することで手軽に作成された、精巧な偽情報によって、企業が損害を被る事例も確認されはじめています。
- 中国では、生成AIによって作成された偽情報によってAI開発を行う企業の株価が急落する事態が発生しました。同社の経営に重大なリスクが生じたと警告する文書がソーシャルメディアを通じて拡散し、投資家の注目を集めたことが原因でした。
- 日本では、生成AIによって作成された、実在するニュース番組の映像に見せかけ動画がソーシャルメディアで拡散しました。これを受けて、番組の映像やロゴを悪用されたテレビ局は動画の作成者に抗議する一方で、視聴者に対して注意喚起を行いました。
今後、生成AIがますます普及するに伴って、偽情報が蔓延することが危惧されています。企業は偽情報の脅威を理解した上で、対策に取り組む必要があります。
CSIRTが取り組むべき偽情報対策
PwCでは、グローバルネットワークにおいて企業の偽情報対策を支援してきた経験から、①リスクの評価、②ソーシャルメディアの監視と活用、③ブランドの強化、④復旧計画の作成という4ステップの対策を提案してきました。
このうち、①リスクの評価において、企業は自社に影響を与え得る偽情報の発信に使用される手口を特定し、偽情報の発信の兆候を監視することが求められます。サイバー脅威を特定するためにインターネット空間を監視しているCSIRTは、既存の監視活動を生かして偽情報対策でも重要な役割を担うことができます。
PwCは、サイバーインテリジェンスアドバイザリーを通じて、各企業のCSIRTがサイバー攻撃の兆候を検知できるように、サーフェスウェブやディープウェブ、ダークウェブを監視してきました。その中で、企業の公式ロゴや類似したドメインを悪用する偽のウェブサイト、捏造された画像などを検知し、対処を支援しています。この経験から、CSIRTが脅威インテリジェンス活動の中で実施できる5つの偽情報対策を以下のとおりまとめました。
① ブランド名の監視
ソーシャルメディアやニュースサイトなどにおいて、自社の名前やブランド名を含む投稿が急増していないか、自社やブランドに関する誤った情報が拡散していないかを監視する必要があります。これによって、自社に関する偽情報を早期に検知することができます。
② 偽アカウントの監視
ソーシャルメディアにおいて、自社の公式アカウントや従業員、特に役員や経営幹部の名を騙る偽のアカウントが登録されていないかどうかを監視する必要があります。偽情報の発信者は、偽のプロフィールでアカウントを作成し、偽情報を発信します。特に企業の公式アカウントや従業員を装ったアカウントを使用して、正しい情報のように見せかけるケースが多いです。
③ 類似ドメインの監視
自社のドメイン名によく似ているドメイン名や、自社の名前やブランド名などを含み、まるで正当なもののように見える類似ドメイン名が登録されていないかを監視する必要があります。類似ドメインを検知した場合には、自社の偽サイトに悪用されていないかどうか継続的に監視してください。企業の偽サイトを構築し、偽情報の発信に悪用される可能性があります。
④ ロゴの悪用の監視
ハッシュ値の比較やOCR(Optical Character Recognition/Reader)機能を使って、自社のロゴが偽サイトや捏造された画像などに悪用されていないかを監視する必要があります。ロゴは最も簡単に悪用されうるものの1つです。
⑤ テイクダウン申請
誤った情報や不審なアカウントなどを検知した際には、ソーシャルメディア企業や通信プロバイダなどの通報窓口に連絡し、それらの削除を依頼してください。ソーシャルメディア企業や通信プロバイダなどでは対応できない場合や、自社に実害が発生した場合などには法執行機関へ通報してください。
まとめ
生成AIが進化する中で、企業にとって偽情報は避けられない脅威となっています。本稿では、偽情報が企業に与える影響と、これを緩和するためにCSIRTが取り組むべき具体的な対応策を提示しました。事業の継続性や社会的信頼性を維持するために、企業は偽情報に対する包括的なアプローチを採用する必要があり、CSIRTはその一翼を担う存在です。経営層のリーダーシップのもと、社内外のステークホルダーと連携し、平時から偽情報の発生に備えておくことが求められます。
PwCでは、グローバルネットワークで生成した独自のサイバーインテリジェンスに基づいて、クライアントがサイバー脅威に対してプロアクティブに対応できる体制を構築することを支援しています。PwCのサイバーインテリジェンスアドバイザリーは、ブランドモニタリングやダークウェブモニタリングサービスを提供することで、サイバー攻撃に留まらないサイバーリスク全般への対応をサポートします。
*1 World Economic Forum, 2024, The Global Risks Reports 2024 19th Edition: INSIGHT REPORT, 2024/4/17閲覧,
https://www3.weforum.org/docs/WEF_The_Global_Risks_Report_2024.pdf
*2 Council of Europe, 2017, Information Disorder: Toward an interdisciplinary framework for research and policymaking, 2024/4/17閲覧,
https://rm.coe.int/information-disorder-toward-an-interdisciplinary-framework-for-researc/168076277c
*3 MIT SLOAN SCHOOL OF MANAGEMENT, Study: False news spreads faster than the truth, 2024/4/23閲覧,
https://mitsloan.mit.edu/ideas-made-to-matter/study-false-news-spreads-faster-truth
*4 みずほリサーチ&テクノロジーズ, 2022, 国際比較を通じた日本人の偽・誤情報に対する意識と取り組むべき対策, 2024/4/23閲覧,
https://www.mizuho-rt.co.jp/publication/report/2022/pdf/mhrt03_disinformation.pdf
*5 ENISA, 2022, Foreign Information Manipulation and Interference (FIMI) and Cybersecurity - Threat Landscape
*6 NewsGuard, 2024, AI Tracking Center, 2024/4/23閲覧,
https://www.newsguardtech.com/special-reports/ai-tracking-center/
*7 Egress, 2023, Phishing Threat Trends Report, 2024/4/23閲覧,
https://pages.egress.com/Whitepaper-PhishingThreatTrendsReport-10-23_2023-Landing-Page.html
*8 Journal of Cybersecurity, 2023, Testing human ability to detect ‘deepfake’ images of human faces, 2024/4/23閲覧,
https://academic.oup.com/cybersecurity/article/9/1/tyad011/7205694
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
