2025年8月の気になるインターネット記事をピックアップ
この記事を投稿するのは9月ですが、まだまだ暑い!ただ、来週くらいからようやく涼しくなってくるみたいです。ようやく衣替えでしょうか。
認知バイアスで考えるサイバーセキュリティ:8万4000通のメールを分析して判明した“高品質”なフィッシングの条件とは?
フィッシングメールはもはや「誰もが引っ掛かる」脅威です。単にウイルスを添付したり、巧みな日本語を使ったりする旧来の手口ではなく、近年のフィッシングは組織や個人の心理に深く切り込んでくる「認知的戦略」を駆使しています。
人間が意思決定を実行するときに無意識のうちに影響を受けやすいとされる6つの要因(権威、緊急性、希少性、好意、返報性、社会的証明)を分析の軸として、フィッシングメールをこの分析にもAIを活用しているとのことです。その結果
- 「権威」・・・副社長からの至急の指示です
- 「緊急性」・・・48時間以内に更新が必要です
- 「希少性」・・・貴方専用のオファーです
要因を含むフィッシングメールが、他の要因よりも顕著に成功率を高める効果があることが分かったとのことです。Gmailも裏で天下のGoogleがAIを用いて、これらの要因が含まれるメールをフィッシングメール判定の分類に利用してくれるはず。僕らセキュリティ担当個人がやれることとしては、僕の会社ではフィッシング通報チャンネルが用意されているのですが、この記事にあるように
- フィッシングメールが6つの要因のうちどこを突いてきているのか
- あなたは実際どこに反応してしまったのか
などフォローすると、単に「フィッシングメールが来ました」とアナウンスするより印象に残ってくれるでしょうね。
今年も公開されました。後で読まなくては。
ほとんどのパスワード管理アプリから機密情報を盗み出せる ~拡張機能を狙う攻撃手法が明らかに
会社でもパスワードマネージャの利用を推奨しようとしていますが、よく使われるセキュリティツールに対してこのような脆弱性が存在すると被害が甚大です。便利だからこそ狙われる。
駿河屋、ECサイトに不正アクセス クレカ情報を含む個人情報が漏えいか 8日よりカード決済停止
駿河屋は私の出身地である静岡を代表する会社の一つですし、知名度も高いですからニュースになった時には周りで話題になりました。 公式のプレスリリースでは具体的な方法はあまり書かれていなかったのですが、外部からサイトにアクセス可能、改ざん可能な状態になっており、そこに入力値を外部サーバに送付する悪意あるスクリプトが埋め込まれていたとのことです。 「クレジットカード情報・セキュリティコードを保有していないから漏洩はしない」というのは一見正しいのですが、今回のようにクレカ決済を外部サービスを利用する場合も、照会するための値の入力はサイト側で行います。そのページに入力された文字列を攻撃者のサーバに送付するスクリプトが埋め込まれているとインシデントは発生します。そもそも公式サイトを不正アクセスできるようなアクセス権にしてしまったのが痛恨ですね。AWSの標準セキュリティ対応でも、定期的にs3バケットやセキュリティグループが外部からフルアクセスできるかを確認しろ、と書いてあります。しかし管理しているサーバの数が多いと、すべてに目を光らせるのはたいへん、そんな組織のためにAWS Organizationsのような機能もありますが、導入しよう、はい入できました、とはなりません、ビジネス流行ることは山のようにあり、人の工数には限りがあります。優先順位を決めないといけませんから。
出向先の社外秘資料を撮影して持ち出していた事案についてまとめてみた
外部からの犯行はセキュリティツール、デバイスの導入や従業員への啓発で防ぐことができますが、悪意ある内部不正を100%防ぐことはできませんよね。漫画”機動警察パトレイバー”のセリフですが(読んだことないのですが)内部不正に対しては「本質的にはいつも手遅れ」となってしまいますよね。できることは行為に対する厳罰しかないのでしょうか。
Gmailユーザー要注意:AI音声でGoogleサポート装う新型詐欺、2要素認証も無力化
AI駆動型の攻撃では自然な間合いや咳払い、タイピング音まで再現され、被害者の警戒心を巧妙に解いています。これは従来の「文法が怪しいメール」や「明らかに偽のロゴ」といった判別基準が通用しない新時代の脅威を意味しています。AI駆動型の攻撃では自然な間合いや咳払い、タイピング音まで再現され、被害者の警戒心を巧妙に解いています。これは従来の「文法が怪しいメール」や「明らかに偽のロゴ」といった判別基準が通用しない新時代の脅威を意味しています。
こうした高度な詐欺にも関わらず、フィッシングキットが25ドル程度で購入可能という現実も明らかになりました。これは技術的ハードルの低下により、より多くの犯罪者がこの種の攻撃に参入できる環境が整っていることを示しています。
現在私たちがいくつかのフレーズを吹き込むと、それを基に声を作成、テキストファイルに書かれている文章を私たちの声で読み上げてくれるツールが存在します。便利な機能なのですが、便利な機能は悪用されるものです。
多要素認証が普及したため、漏洩したパスワードを利用した不正ログインは減っている一方、サポート詐欺と呼ばれる、被害者を言葉巧みに誘導して、被害者に多要素認証をパスさせることによる攻撃が増加しています。人間を狙った攻撃は絶対的な対策が存在しないのも頭を悩ませます。この記事にあるように 「テクノロジー企業は絶対に突然電話をかけてこない」 という新たな常識を全従業員に意識づけしたいですね。
10万回インストールされたChrome拡張機能の「FreeVPN」がこっそりユーザーの画面のスクリーンショットを撮り外部サーバーに送信していることが判明
最初は無料で使えるVPNソフトウェアだったChrome拡張が、ある時から急にブラウザをスクショして外部サーバに送付するようになった、という夏の恐怖話です。VPNソフトウェアは有料のものから無料のものまで様々。無料のものに関してはこういうリスクもありうるということですよね。 たとえば私は画面のキャプチャにおいてはChromeの拡張機能やgyazoを利用してのスクショは取得せず、OSの標準機能を使います。面倒ですが、そのほうがセキュリティが強固ですし。もちろん、安全に使いやすくて無料のスクリーンショット機能があればそれに越したことはないのですが、旨い話はなかなかありません。
Proofpoint Blog 50回「日本が今、最も狙われている【続編】プルーフポイントのデータからみる生成 AI 時代のメール脅威と対策」
前編は今年3月の記事ですが、こちらからまず読みました。フィッシング詐欺は日本語という特殊な言語により高い防御力を持っていた日本、結果対策がおろそかになっていました。しかしAIの進化により、流ちょうな日本語を攻撃側が利用できるようになりました。こうなると日本は悪い国家、悪い組織の狩場になってしまいます。1か月に8億を超える新種攻撃メールが送られているとは…もうメールを仕事に使わないほうが良いのでは?そのうち90%が日本向けだとか。そもそもフィッシングキットが日本だけを効率よく攻撃できるようチューニングされているという。 これまで胡坐をかいていましたが、今や日本企業が求めるセキュリティ対策はどんどん重たくなってきています。この記事に書かれている「今すぐとるべき対策」を実際に現場でひーひー言いながら対応しているので間違いありません。夏休みの宿題を最終日に取り組む学生のように、これまでの遅れを取り戻さないといけません。
ずさんなAIの防御がサイバーセキュリティを1990年代に逆戻りさせる?
規模言語モデルと AI エージェントは、攻撃するのがあまりにも容易で、この四半世紀のセキュリティ界隈でつちかってきた教訓の多くが、AI 分野の開発や利益追求の急激な進展の中で忘れ去られてしまっていると警鐘が鳴らされている。
かつて新機能をどんどん追加して市場を支配することに躍起になっていたMicrosoftですが、あまりにセキュリティの問題が噴出したため、「一度立ち止まりセキュリティを最優先にするべきだ」と2002年にビル・ゲイツが全従業員にアナウンスしました。それが 「TrustWorthy Computing」(信頼できるコンピューティング) 。その原文を見つけたので共有します。
https://www.wired.com/2002/01/bill-gates-trustworthy-computing/
今やAIが流ちょうに和訳してくれるので読むのも簡単です。 それまでは新機能をどんどん追加することに邁進していたMicrosoftですが、当時Microsoftだけでなくすべての会社の製品にセキュリティ問題が噴出しており、業界のリーダーとして製品やサービスに「信頼性」を組み込むことが必要と書かれています。「信頼性」は「可用性」「セキュリティ」「プライバシー」で構成される、とあります。 ” 今後は機能を追加することとセキュリティ問題を解決することとの選択に直面したときには、セキュリティを選択する必要があります”というフレーズはビル・ゲイツの危機感を伝えるものであり、平易かつ簡潔なメモでありながら現代の常識となっている考え方を抑えているのはやっぱりすごいです。
AIの進化と普及はインターネットの、スマートフォンに並ぶ大きなインパクトがあり、どこの会社もこの波に乗らないとやられる、という危機感と、AIのパワーによる万能感の脳内麻薬で、セキュリティを後回しにしてどんどん機能を進化させているのかもしれませんが、社会の根本となりうるインフラの可能性があるからこそ、足元のセキュリティを考えないとMicrosoftの二の舞になります。
今回の記事のサムネイルは以下の記事の画像を使わせてもらいました。 「OOPSLA 2002」にビル・ゲイツが来た! 今から20年以上前の記事。このブログを読んでいる人の中には、まだ生まれていない人もいるかもしれません。読んでみるとタイプスリップした気持ちになります。
こういう記事を読むと、自分もセキュリティスペシャリスト、情報処理安全確保支援士を名乗っていながら、実戦経験がぜんぜん足らないなぁと思います。言い訳はいくらでも思いつくのですが、やっぱり脆弱性診断、ペネトレーションテストを手を動かす経験を自分のスキルとして身に着けたいです。