2025年12月の気になるインターネット記事をピックアップ
新年あけましておめでとうございます。新しい1年、新たな気持ちではじめていきます。 セキュリティに対して、頭と手を動かし続け、自らを磨く1年でありたいと考えています。 そんな中、最近気になったセキュリティ関連のニュースを紹介します。
このChrome「拡張機能」を今すぐ削除せよ、生成AIとの会話を収集し第三者に販売
最近よく聞く「最初は正しい動きをする拡張機能に、知らぬ間に悪質なコードが注入されている」という手法に似ています。インストール後のアップデートにより、あらゆるエージェントAIとの会話を収集し、外部サーバに送信する機能が追加されたとのことです。 利用規約にも、以下のような記述があります。
『当社はウェブ閲覧データを当社の関連会社と共有します』。この関連会社はデータブローカーであり、『商業目的で利用され、共有されるインサイトを作成します』」
しかし、規約を隅々まで読む人はなかなかいませんよね。対象の拡張機能一覧は上記記事で紹介されています。今回のケースはVPNを謳う機能だったようですが、無料でVPNを提供することは根本的に信用ならないと改めて感じさせられます。
JC3ポッドキャストの配信(Spotify、Apple Podcasts、YouTube)について
JC3:日本サイバー犯罪対策センター(JC3)は、産業界、学術機関、法執行機関等が持つサイバー空間の脅威への対処経験を集約・分析し、共有することで、サイバー犯罪等の大本を特定・軽減・無効化することを目指す非営利団体です。会員企業のセキュリティ担当や警察などの公的機関が連携している組織のようです。
ランサムウェアの脅威に最前線で立ち向かう専門家たちとの対話を通じて、サイバーセキュリティ対策を考えていく「JC3ポッドキャスト ランサムウェア・ダイアログ」を2025年12月8日より配信開始いたしました。
第1回、第2回を聴いてみましたが、実際にランサムウェア対応をしている警察庁職員の方の生々しい話が聴けます。「私もセキュリティ分野で働きたい!」という方には、非常に価値のある内容だと感じました。
「LINEグループ作成」を要求する詐欺メールに注意 海外のサイバー監視が日本向け攻撃を警告
<blockquote class=”twitter-tweet” data-conversation=”none”><a href=”https://x.com/IPA_anshin/status/2002941037422203120”></a></blockquote>
IPAからもアナウンスがありましたが、私の会社でも社長の名前を騙るメールが privacy や info 宛に届きました。
メールの内容(手口):
- LINEのグループを作れ
- 作ったらグループのQRコードをメールに返信しろ
- そのあと業務調整に必要なメンバー追加を私(社長?)が行う
というものです。毎日のように届きますが、Hotmail経由で毎回アドレスが異なるため、特定のメアドで弾くことができません。弊社では「不審メール投稿箱」というチャンネルを活用し、全社向けに注意喚起を行いました。 情シスとしての対抗手段
Google Workspaceを利用している場合、「従業員名のなりすましに対する保護機能」が有効です。 グループメンバーの名前を騙りつつ、自社ドメインではないメールアドレスから送られてきた場合、自動的に迷惑メールとして判定してくれます。有効化しておいて損はない機能です。 そのご迷惑メール箱を見ると、毎日のように社長を騙るメールが送られてきていました。文面も「お疲れ様です、お仕事頑張っているかな?」などフランクな表現を利用するなど、なかなか手ごわいです。
それにしても、privacy@ や info@ は企業としてほぼ必ず存在する窓口。そこを無差別に狙い、社長の名前を把握し、かつ自然な日本語を使う……。フィッシングメールの精度が非常に高まってきていることを実感します。
日経の技術ブログです。 書かれていることは基本的なことばかりですが、その「当たり前のことを地道に実行し続ける」ことこそが、セキュリティ担当の本質であると改めて感じました。