Financial groups lay out a plan to fight AI identity attacks
2026/04/01 HelpNetSecurity — GenAI 系ツールによりディープフェイク生成コストが大幅に低下したことで、金融機関を攻撃するサイバー犯罪者や国家支援アクターが日常的に使用する状況となっている。この問題の規模を提示する American Bankers Association/Better Identity Coalition/Financial Services Sector Coordinating Council は共同報告書を取りまとめ、連邦政府と州政府の政策立案者に対して複数の領域での対応を求めている。
フィンテック分野におけるディープフェイク・インシデントは、2023年の時点で前年比 700% 増加した。Deloitte Center for Financial Services は、米国における AI を介した詐欺による損失は、2023年の $12.3 billion から 2027年には $40 billion へ増加し、各年の平均成長率は 32% になると予測している。Bank Secrecy Act に基づく Suspicious Activity Reports においては、2021年のインシデントの 42% が、アイデンティティまたは認証侵害に関連していた。
現時点において、金融機関を標的とする攻撃は 10 種類存在する。そこに含まれるのは、本人確認システムに対するディープフェイク/AI 生成フィッシング/合成アイデンティティ生成/リアルタイム・ディープフェイク詐欺/AI エージェントによるアカウント乗っ取りなどである。
フィッシングが急速に拡大する理由
LLM の悪用により、フィッシング・プロセス全体が自動化されている。この自動化により、攻撃コストは 95%以上も削減され、手動キャンペーンと同等以上の成功率が実現されている。この報告書によると、60% の人々が AI 自動化フィッシングの被害を経験している。
レガシー認証の脆弱性が、AI により深刻化している。SMS ワンタイム・パスコードやプッシュ認証アプリがフィッシングの対象になり得る。パスワードも同様である。AI ツールにより、従来は非経済的であった規模と速度で、これらの弱点が悪用される。
政策立案者への 4 つの要請事項
第一は、アイデンティティの証明と検証である。財務省主導タスクフォースが、連邦/州/地方の機関を統括し、物理的な資格情報とデジタル資格情報のギャップ解消を図る。非対称の公開鍵暗号を用いるモバイル運転免許証が、有力な手段として提示されている。ディープフェイクは秘密鍵の所有を偽装できないため、暗号ベースの資格情報は、現行の AI 攻撃に対する耐性を持つ。
Social Security Administration の、eCBSV (Electronic Consent-Based Social Security Number Verification) の拡張も提案されている。このシステムは、現在のクレジット関連サービスに限定されるが、口座開設/バックグラウンド・チェックなどへ向けて役割を拡張することで、信頼できる政府データによる、本人確認が可能となる。
さらに、州政府インフラの近代化のための連邦助成や、IRS/State Department/USPS による属性検証サービス、米国民向けのデジタルパスポート、USPS の対面本人確認権限、NIST による生体認証、ライフネス検知ガイドラインの更新などが含まれる。
第二は、認証である。規制当局は金融機関に対して、フィッシング耐性認証である FIDO セキュリティキー/Passkeys の導入を推進する必要がある。また、リスクベース詐欺検知における、データ分析の利用を制限しないことも求められる。
Better Identity Coalition の Jeremy Grant が指摘するのは、Passkeys が短期間で普及している状況である。本格的な展開は 2023年後半に始まったばかりであるが、多くの消費者が既に認知している点に注目すべきだ。
その一方で、パスワードレスは安全性が低いという誤解が、普及の障壁となっている。長年にわたり指示され続けてきた、パスワードの強化が影響した結果であるが、すでにパスワード自体が有効なセキュリティ対策になっていない。フィッシング耐性認証に関する、公共的な啓発が必要である。
第三は、国際連携である。NIST/DHS/Treasury は、デジタル・ウォレットの相互運用性および標準化のために、EU などと協調する必要がある。中国といった対抗国も、国際標準化活動に積極的であるが、米国においては予算/人員の制約が存在するため、関与の範囲が限られている。
第四は、公共の教育である。財務省は CISA および金融機関と連携し、ディープフェイク脅威に関する啓発を実施し、Passkeys などのフィッシング耐性技術に関する認知の向上を推進する必要がある。
規制ギャップ
金融機関は、Bank Secrecy Act の本人確認要件と、Federal Financial Institutions Examination Council の認証ガイドラインに従う必要がある。しかし、既存のコンプライアンスに対して、新しい資格情報技術を適用するための明確な指針が不足している。
Jeremy Grant は、脅威は金融分野に限定されないと指摘する。ディープフェイクは国家レベルの問題であるが、銀行/フィンテック/医療/小売/暗号資産/政府を横断するかたちで、同一のアイデンティティと認証基盤の欠陥が悪用されている。
20項目の提言のうち、特に影響の範囲が広いものとして挙げられるのは、NIST 指針に基づく州インフラ助成/eCBSV 拡張/ライフネス検知指針の加速に加えて、AI 駆動アイデンティティ脅威を監視するための複数の機関による連携である。また、”Stop Identity Fraud and Identity Theft Act of 2026″ (HR 7270) への関心も示されている。
複雑性により失敗した過去の大規模アイデンティティ施策を踏まえ、この提言は 2年〜3年以内に実現可能な範囲で設計されている。
金融機関を狙うディープフェイクや、GenAI を悪用する攻撃が急増している現状と、それに対する米国当局の提言について解説する記事です。この問題の背景にあるのは、GenAI 技術の普及により、ディープフェイクを作成するコストが劇的に下がり、フィッシング攻撃や本人確認の突破が、マシンスピードで可能になっているという現実です。
文中の報告書によると、AI を使ったフィッシングの自動化により、攻撃コストは 95% 以上も削減されました。これにより、従来の SMS ワンタイム・パスワードやプッシュ通知といったレガシー認証の弱点が、これまでにない規模で悪用されています。実際に、フィッシング詐欺の被害は前年比で 700% も増加しており、2027 年には米国だけで $40 billion の損失が出ると予測されています。この事態を受け、政策立案者に対して 4 つの柱となる対策が求められています。
IoT OT Security News 
You must be logged in to post a comment.