1世紀以上にわたり、オフィスビルからエネルギー網に至るまで、物理的資産のセキュリティは「なりすましには高いコストがかかる」という不変の摩擦に守られてきた。かつて、幹部や業者を装うには大掛かりなリソース、プロの俳優、あるいは内部へのアクセスが必要不可欠であったからだ。しかし、この経済的な障壁は生成AIによって取り払われた。現在、音声や映像のクローン技術は極めて身近で拡張性のあるツールとなり、悪意ある者たちの手に渡っている。ビデオ通話における視覚や聴覚を無条件に信頼できるという前提は、いまや事実上消滅したと言える。

この現実は、世界的なエンジニアリング企業であるアラップ(Arup)の従業員が直面した事件によって浮き彫りになった。彼は、同僚になりすました非常にリアルなディープフェイクのビデオ通話に欺かれ、2500万ドルの送金を承認してしまったのだ。ここでは従来型のネットワーク侵入は行われておらず、ファイアウォールもすり抜けられていない。攻撃者は信頼チェーンにおける人間という弱点を突いたのであり、現代の超接続化されたインフラにおいて、アクセス権限を持つ人間こそが最大の弱点であることを証明した。これは孤立した出来事ではなく、脅威の展望における構造的な転換を示唆している。

この脆弱性は、ホスピタリティ、不動産、倉庫業など、物理的な世界を所有・運営する産業において特に深刻だ。これらのセクターは、既存のITネットワークと、物理的なアクセス、エレベーター、空調を制御する運用技術 (OT) を組み合わせて運用していることが多い。OTシステムがIPネットワークに接続される範囲が広がるにつれ、外部からのアクセスが可能となった。ディープフェイクを用いた電話やビデオ会議は、こうした重要システムへ侵入するための足掛かりとなり、単純なソーシャルエンジニアリングを物理的な破壊や大規模な金銭被害へと直結させてしまう。

根本的な課題は、組織設計の失敗にある。多くの大企業では、物理セキュリティとサイバーセキュリティが別々のサイロとして扱われており、それぞれ異なるリーダーや予算の下に置かれていることが多い。AI登場以前には理にかなっていたこの分断は、いまや極めて深刻な脆弱性となっている。攻撃者は、企業が両者を統一された攻撃対象として認識していないという隙を突き、領域間を自由に移動しているのだ。物理インフラを所有する産業は、直ちにこれらの部門を統合し、物理的脅威とデジタル脅威をコインの裏表として扱う統一的なインシデント対応計画を策定する必要がある。

この問題の解決は、単により高度な検知ソフトウェアを購入すれば済む話ではない。企業は、高額な承認プロセスすべてにおいてゼロトラストモデルへと移行し、検証層を根本から再設計しなければならない。具体的には、資産の移動や重要システムへのアクセスに対して、事前の合意に基づくコードフレーズや、検証済みの代替チャネルを用いたコールバックなど、アウトオブバンド検証を要求することが不可欠となる。AIによって排除されてきた「摩擦」をあえて再導入することは不便に思えるかもしれないが、合成メディアと現実が区別不能な時代において、セキュリティを回復させる唯一の現実的な道筋である。

1世紀以上にわたり、オフィスビルからエネルギー網に至るまで、物理的資産のセキュリティは「なりすましには高いコストがかかる」という不変の摩擦に守られてきた。かつて、幹部や業者を装うには大掛かりなリソース、プロの俳優、あるいは内部へのアクセスが必要不可欠であったからだ。しかし、この経済的な障壁は生成AIによって取り払われた。現在、音声や映像のクローン技術は極めて身近で拡張性のあるツールとなり、悪意ある者たちの手に渡っている。ビデオ通話における視覚や聴覚を無条件に信頼できるという前提は、いまや事実上消滅したと言える。

この現実は、世界的なエンジニアリング企業であるアラップ(Arup)の従業員が直面した事件によって浮き彫りになった。彼は、同僚になりすました非常にリアルなディープフェイクのビデオ通話に欺かれ、2500万ドルの送金を承認してしまったのだ。ここでは従来型のネットワーク侵入は行われておらず、ファイアウォールもすり抜けられていない。攻撃者は信頼チェーンにおける人間という弱点を突いたのであり、現代の超接続化されたインフラにおいて、アクセス権限を持つ人間こそが最大の弱点であることを証明した。これは孤立した出来事ではなく、脅威の展望における構造的な転換を示唆している。

この脆弱性は、ホスピタリティ、不動産、倉庫業など、物理的な世界を所有・運営する産業において特に深刻だ。これらのセクターは、既存のITネットワークと、物理的なアクセス、エレベーター、空調を制御する運用技術 (OT) を組み合わせて運用していることが多い。OTシステムがIPネットワークに接続される範囲が広がるにつれ、外部からのアクセスが可能となった。ディープフェイクを用いた電話やビデオ会議は、こうした重要システムへ侵入するための足掛かりとなり、単純なソーシャルエンジニアリングを物理的な破壊や大規模な金銭被害へと直結させてしまう。

根本的な課題は、組織設計の失敗にある。多くの大企業では、物理セキュリティとサイバーセキュリティが別々のサイロとして扱われており、それぞれ異なるリーダーや予算の下に置かれていることが多い。AI登場以前には理にかなっていたこの分断は、いまや極めて深刻な脆弱性となっている。攻撃者は、企業が両者を統一された攻撃対象として認識していないという隙を突き、領域間を自由に移動しているのだ。物理インフラを所有する産業は、直ちにこれらの部門を統合し、物理的脅威とデジタル脅威をコインの裏表として扱う統一的なインシデント対応計画を策定する必要がある。

この問題の解決は、単により高度な検知ソフトウェアを購入すれば済む話ではない。企業は、高額な承認プロセスすべてにおいてゼロトラストモデルへと移行し、検証層を根本から再設計しなければならない。具体的には、資産の移動や重要システムへのアクセスに対して、事前の合意に基づくコードフレーズや、検証済みの代替チャネルを用いたコールバックなど、アウトオブバンド検証を要求することが不可欠となる。AIによって排除されてきた「摩擦」をあえて再導入することは不便に思えるかもしれないが、合成メディアと現実が区別不能な時代において、セキュリティを回復させる唯一の現実的な道筋である。