Last Updated on 2025-04-17 14:19 by admin
2025年4月15日、Dark Readingは会計事務所におけるサイバーセキュリティの重要性に関する記事を掲載した。記事によると、確定申告期間中のストレス、テクノロジーの乱立、緩いコミュニケーションがサイバー犯罪者に付け込まれる要因となっている。
2024年1月、英国のエンジニアリング企業Arupの香港オフィスの従業員がディープフェイク技術を用いた偽のビデオ通話に騙され、犯罪者に2億香港ドル(約2,500万米ドル、約37億円)を奪われる事件が発生した。従業員は当初疑いを持ったものの、英国を拠点とするCFOや他の同僚を装った偽のビデオ会議に参加し、15回の送金を5つの香港の銀行口座に行った後、本社に確認して詐欺が発覚した。
Deep InstinctのCIOであり、以前Citiのグローバルインフラ防衛責任者を務めていたCarl Froggett氏は、この事件は特に会計チームにとって警鐘となるべきだと指摘している。会計専門家は機密性の高いデータを大量に扱うため、サイバー犯罪者の格好のターゲットになっているという。
米国の会計事務所Dark Horse CPAsのCTOであるChris Davis氏によれば、脆弱性はSaaS(Software-as-a-Service)の乱立から始まる。特に小規模な事務所や個人開業の会計士は、フェデレーテッドID管理や適切なアクセス制御などの基本的なIT基盤が不足していることが多い。
Davis氏は、VPN、フルディスク暗号化、モバイルデバイス管理、多要素認証の強制などの基本的な対策を推奨している。一方、Froggett氏は、セキュリティはエンドポイントだけでなく、文書の移動方法にも注意を払うべきだと指摘している。
サイバーセキュリティ対策の重要性は数字からも明らかである。Sophosのレポートによると、2024年には金融サービス業界の65%がランサムウェア攻撃の被害に遭っており、ランサムウェア攻撃からの回復コストは平均273万ドル(約4億円)に達している。
また、会計業界のサイバーセキュリティ対策の現状も懸念されている。調査によると、22%の会計事務所がバックアップのテストを一度も行っておらず、同じく22%が情報セキュリティポリシーやサイバーインシデント対応計画などの重要文書を持っていない。さらに、43%が従業員に定期的なサイバーセキュリティトレーニングを提供していない。
専門家は、セキュリティはトップダウンで優先事項とし、最小権限アクセスの原則を遵守すべきだと強調している。また、セキュリティ意識トレーニングは繁忙期直前のパニック対応ではなく、年間を通じた戦略の一部であるべきだとしている。
from:Accounting Firms Can’t Skimp on Cybersecurity
【編集部解説】
今回のニュースは、会計事務所におけるサイバーセキュリティの重要性を訴える内容となっていますが、背景にある事例や最新の脅威について、さらに詳しく解説していきましょう。
Arupディープフェイク詐欺事件の詳細
記事で触れられているArup社の事件は、2024年1月に香港で発生したものです。被害額は約2億香港ドル(約2,500万米ドル、約37億円)に上り、世界最大級のディープフェイク詐欺事件の一つとして記録されています。
この事件では、Arupの香港オフィスの財務チームのメンバーが、英国を拠点とするCFO(最高財務責任者)を装った人物から「機密取引」に関するメッセージを受け取りました。その後、デジタルで複製されたCFOや他の同僚を含む偽のビデオ会議に参加し、騙されて5つの香港の銀行口座に15回の送金を行いました。詐欺が発覚するまでに、すでに約2億香港ドル(約2,500万米ドル)が流出していたのです。
Arupのグローバル最高情報責任者であるRob Greig氏は、「世界中の多くの企業と同様に、当社の業務は請求書詐欺、フィッシング詐欺、WhatsApp音声なりすまし、ディープフェイクなどの定期的な攻撃の対象となっています。最近数ヶ月間で、これらの攻撃の数と洗練度が急激に上昇していることを目の当たりにしています」と述べています。
Arupは、「当社の財務安定性や事業運営には影響がなく、内部システムも侵害されていません」と発表していますが、事件は現在も調査中であるため詳細は明らかにされていません。
ディープフェイク詐欺の急増と企業への影響
ディープフェイク詐欺は単にArup社だけの問題ではありません。金融ソフトウェアプロバイダーのMediusが実施した調査によると、米国と英国の企業の半数以上が「ディープフェイク」技術を利用した金融詐欺の標的となっており、43%がそのような攻撃の被害に遭っています。
調査対象となった1,533人の米国と英国の財務専門家のうち、85%がこのような詐欺を組織の財務セキュリティに対する「存在的」脅威と見なしています。ディープフェイクは、AIによって操作された画像、動画、または音声記録であり、偽物でありながら説得力があるという特徴を持っています。
広告代理店のWPPも最近ディープフェイク詐欺の標的になりましたが、こちらは未遂に終わっています。また、暗号通貨取引所Binanceの幹部も2年前に詐欺師が作成した「ホログラム」によってプロジェクトチームへのアクセスを得ようとする試みがあったことを明らかにしています。
会計事務所が特に標的となる理由
会計事務所が特にサイバー攻撃の標的となりやすい理由はいくつかあります。
まず、会計事務所は顧客の機密性の高い財務データを大量に扱っています。これには個人情報や企業の財務状況など、犯罪者にとって非常に価値のある情報が含まれています。社会保障番号、税務申告書、給与データ、企業の財務情報など、会計事務所が保持する情報は、サイバー犯罪者がすぐに悪用したり、ブラックマーケットで高値で売却したりできるものです。
次に、確定申告期限などの繁忙期には、会計専門家はプレッシャーの中で業務を行うため、通常よりも注意力が散漫になりがちです。サイバー犯罪者はこの時期を狙って攻撃を仕掛けることが多く、特に「確定申告の期限直前や監査シーズンの繁忙期」に攻撃することで、被害者が身代金を支払う可能性を高めています。
さらに、記事で指摘されているように、多くの会計事務所では複数のSaaSアプリケーションを使用しており、それぞれが独自のセキュリティプロトコルを持っています。このテクノロジーの乱立が混乱を招き、セキュリティの脆弱性を生み出しています。
特に小規模な事務所や個人開業の会計士は、適切なIT基盤が不足していることが多く、フェデレーテッドID管理や適切なアクセス制御などの基本的なセキュリティ対策が十分に実施されていないケースが見られます。
AIの進化がもたらす新たな脅威
2025年には、AIの深層学習能力がハッカーにより複雑な攻撃を開発する機会を与えているため、会計事務所は警戒が必要です。
サイバーセキュリティ攻撃はより超個人化され、悪意のある攻撃者がソーシャルメディアアカウントを調査して、カスタマイズされたスピアフィッシングメールを作成できるようになっています。AIを搭載したボットが、会計事務所のブランド、ロゴ、メッセージングを盗用して、洗練された説得力のあるキャンペーンを顧客に対して展開することが可能になっているのです。
同様に、AIで生成されたディープフェイクは、悪意のある意図を持って、会計事務所の幹部を画像、ビデオ、音声録音を通じて説得力を持って偽装することができます。これには、誤解を招く情報の伝達や、顧客を標的にしたゆすりなどが含まれます。
生成AIによる詐欺損失は、大手会計事務所Deloitteの2023年5月の報告書によると、2027年までに米国で400億ドルに達する可能性があります。「ダークウェブ上には、20ドルから数千ドルの詐欺ソフトウェアを販売する完全なコテージ産業がすでに存在しています」と報告書は述べています。「この悪意のあるソフトウェアの民主化により、現在の多くの不正防止ツールの効果が低下しています」。
企業が取るべき対策
専門家は、ディープフェイクによる脅威の高まりを受けて、企業が以下の対策を講じるよう促しています:
1. 教育:組織内のすべての人がディープフェイクとは何か、それを見分ける方法、標的にされた場合に取るべき手順について基本的な理解を持つべきです。企業はこれに加えて、上級幹部やマネージャー、およびリスクの高い部門の従業員向けの専門的なトレーニングを検討すべきでしょう。
2. プロセス:企業は、従業員が不注意に詐欺師に支払いを行うリスクを最小限に抑えるために、例えば電信送金には少なくとも2人の承認を必要とするなど、チェック機能とバランス機能を整備する必要があります。また、ディープフェイク攻撃が成功した場合の対応方法も準備しておく必要があります。
3. テクノロジー:AIや機械学習などのツールは、多段階の検証プロセスと職務分離と組み合わせることで、企業が異常な取引を発見するのに役立ちます。
4. ゼロトラストフレームワークの採用:継続的な検証を確保し、機密システムやデータへのアクセスを制限するゼロトラスト原則を採用することが推奨されています。
5. エンドポイントセキュリティの強化:リモートワークやハイブリッドワークモデルが定着する中、エンドポイント(ワークステーションやモバイルデバイス)の保護が重要です。多要素認証(MFA)の実装や、すべてのデバイスの定期的なパッチ適用と更新が必要です。
6. 包括的なWISP(情報セキュリティプログラム)の維持:WISPは規制要件であるだけでなく、セキュリティ戦略を推進するものであるべきです。適切に作成されたWISPは、会社のセキュリティ対策を正確に反映し、全スタッフにセキュリティを意識した文化を醸成します。
今後の展望と私たちの対応
ディープフェイク技術の進化により、詐欺の検出はますます困難になっていますが、いくつかの方法で偽物を見分けることができます。例えば、ビデオ通話中に相手に頭を動かしてもらったり、異なる光源を使用してもらったりすることで、ディープフェイクを暴露できる可能性があります。少し気まずいやり取りになるかもしれませんが、多額の資金や機密データを失うリスクを考えれば、その努力は価値があるでしょう。
このような状況の中で、私たち一人ひとりがセキュリティ意識を高め、組織全体でサイバーセキュリティを優先事項として位置づけることが重要です。特に会計事務所は、顧客の機密データを守るために、最新のセキュリティ対策を導入し、従業員に定期的なトレーニングを提供する必要があります。
ディープフェイク技術は今後も進化し続けるでしょうが、それに対抗するためのセキュリティ技術も同様に発展していくことが期待されます。重要なのは、技術的な対策だけでなく、「信頼するが検証する」という姿勢を組織文化として根付かせることです。
最後に、サイバーセキュリティは単なるIT部門の問題ではなく、組織全体の責任であることを忘れてはなりません。トップダウンでセキュリティを優先事項とし、最小権限アクセスの原則を遵守することで、サイバー攻撃のリスクを大幅に軽減することができるでしょう。
【用語解説】
ディープフェイク(Deepfake):
AIを使って作成された偽の画像、音声、動画のこと。「ディープラーニング」と「フェイク(偽物)」を組み合わせた言葉で、実在の人物の顔や声を別の映像や音声に合成する技術を指す。
SaaS(Software as a Service):
インターネットを通じてソフトウェアを提供するサービス形態。ユーザーはソフトウェアをインストールせず、ウェブブラウザなどを通じて利用できる。
フェデレーテッドID管理:
複数のシステムやサービス間でユーザー認証情報を共有する仕組み。一度のログインで複数のサービスにアクセスできるようにする技術。
シングルサインオン(SSO):
一度の認証で複数のシステムやアプリケーションにアクセスできる認証方式。
SCIM(System for Cross-domain Identity Management):
異なるドメイン間でユーザーIDを管理するためのシステム。複数のクラウドサービス間でユーザー情報を同期させる標準規格。
最小権限アクセスの原則:
ユーザーに与えるアクセス権限を、業務に必要な最小限に制限する情報セキュリティの基本原則。
WISP(Written Information Security Program):
情報セキュリティプログラム。企業のセキュリティ対策を文書化したもので、規制要件を満たすだけでなく、セキュリティ戦略を推進するものとして機能する。
【参考リンク】
Arup(アラップ)公式サイト(外部)
国際的なエンジニアリング・コンサルティング企業Arupの日本語公式サイト。建築、土木、エネルギー関連の技術設計やコンサルティングサービスを紹介。
Deep Instinct(ディープインスティンクト)公式サイト(外部)
AIベースのディープラーニングを活用したサイバーセキュリティソリューションを提供する企業の公式サイト。ゼロデイ攻撃対策などの製品情報を掲載。
Dark Horse CPAs公式サイト(外部)
米国の会計事務所Dark Horse CPAsの公式サイト。小規模企業や個人向けの税務、会計、CFOサービスについての情報を提供。
【編集部後記】
皆さんの会社や事務所では、ディープフェイク詐欺への対策は整っていますか?「自分たちには関係ない」と思われがちですが、Arup社のような大企業でさえ2,500万ドル(約37億円)もの被害に遭っているのが現実です。普段何気なく使っているビデオ通話やメールのやり取りが、実は最も狙われやすい入口かもしれません。明日の業務で、同僚や取引先とのコミュニケーションを「信頼するが検証する」視点で見直してみてはいかがでしょうか。皆さんのセキュリティ体験や疑問があれば、ぜひSNSでシェアしてください。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
