AndyC

Andy Curtis is an award-winning security consultant, researcher and public speaker. He has been working in the computer security industry since the early 1990s, having been employed by state and federal government, leading healthcare and banking providers across three continents. He has given talks about computer security for some of the world’s largest companies, worked with law enforcement agencies on investigations into hacking groups, and is a regular voice on TV and radio explaining IT security threats.

One Consortium launched to combat global communications fraud

2 months ago AndyC

The international communications ecosystem has been bolstered by the launch of a new anti-fraud mechanism, the One Consortium. The initiative,...

２０２４年サイバー攻撃最前線　その脅威と対策

2 months ago AndyC

これはクラウド寄生型攻撃（Living off the Cloud）と呼ばれるもので、攻撃者はセキュリティソフトによる検知を避けるために、できるかぎりクラウド環境に存在しているクラウド・ネイティブ・ツールを悪用する。「クラウド環境側においてもオーケストレーションツールのような強力なツールが悪用されていくと私どもでは予測しております」（平子氏）攻撃者に狙われている生成AI関連技術 ChatGPTのリリース以降、サイバー犯罪における生成AIの活用が活発化している。サイバー犯罪アンダーグラウンドマーケットでは、「Dark AI」というAI専門の不正プログラムを売買するセクションが新たに設けられていることが確認されている。「フィッシング」や「ビジネスメール詐欺（BEC）」を支援するサイバー犯罪用の生成AIツール「WormGPT」が販売されていたことが明らかになっている。 FBI の Internet Crime Complaint Center (IC３)によると、人の心理的な隙や行動ミスにつけ込み、個人が持つ秘密情報を搾取する「ソーシャルエンジニアリング」は攻撃者にとって最も利益の高い攻撃手法の一つとして確立しているという。「特に2024年はアメリカ大統領選などが控えているので、政治的な『インフルエンスオペレーション(虚偽情報を拡散したり、特定組織の機密情報をリークしたりすること)』の増加に生成AIが悪用されることが予想されます」（平子氏）生成AIが悪用されることで、より洗練されたソーシャルエンジニアリングが可能になった。例えば、攻撃者が特定の個人の音声や画像を生成AIにインプット。本人に酷似した音声や画像を生成し、「音声クローニング(特定の話者の声を別の話者が模倣する技術)」や「合成メディア」を作成。さまざまなソーシャルエンジニアリングに悪用し、「なりすまし」や「フィッシング」「BEC」を行っている。「今の段階ではまだいたずらレベルで、インシデントとしては上がっていませんが、企業や組織の場合、CEOや役員の音声や画像、SNSに公開されている情報を生成AIの学習モデルにインプットすると、本物そっくりの音声や映像ができます。なりすましやビジネスメール詐欺などの攻撃に活用することで、受信者が、本物か偽物かを見分けることが難しくなると予測しています」（平子氏）機械学習モデルを汚染する「データポイズニング」も大きなクライシスとなっている。...