こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
IPAは、「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年4月〜6月]」を公開した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】高度なサイバー攻撃を情報共有する取り組みについて、運用状況が公開されています。電話を併用するサイバー攻撃に使われたディープフェイクの内容と、ビジネスメール詐欺の対策について説明します。
今回の取り組みは、13業界の279組織および2つの情報連携体制で、サイバー攻撃に関する情報共有の実運用を行うものです。四半期における情報提供件数は26件で、このうち標的型攻撃に関する情報とみなしたものは3件でした。このほか、電話や偽造文書を使用したビジネスメール詐欺、サイトへの不審なアクセス、情報提供元の組織を騙るフィッシングメールおよびフィッシングサイトなどの報告があったということです。ビジネスメール詐欺について、CEOを詐称する攻撃は複数の報告があり、IPAでも独自調査で類似メール検体を複数入手しています。レポートでは、電話を併用する攻撃と偽造文書を使う攻撃の2つのビジネスメール詐欺攻撃の事例について詳しく説明しています。
フィッシングの報告では、フィッシングサイトに情報提供元の組織が使用するロゴを一部改変したものが悪用されていたほか、HTMLのframe要素を悪用し、情報提供元の正規ウェブサイトのコンテンツを読み込むことで、フィッシングサイトを正規のウェブサイトに見せかけるクリックジャッキング攻撃がされていたということです。
ディープフェイクとは、ディープラーニングとフェイクを組み合わせた造語で、AIを用いて人物の動画や音声を人工的に合成する技術です。機械学習技術を使用することで、既存の画像や音声などを重ね合わせて、新たなメディアコンテンツを生成することができます。
例えば、みなさんの音声データを大量にAIへ機械学習させたとします。しゃべらせたい言葉を入力すれば、あたかもみなさんがしゃべっているような音声を生成することができます。ディープフェイク自体は、エンターテイメントとして活用されたら、面白いで済まされるのですが、悪用されてしまうとその限りではありません。例えば、ディープフェイクで生成された音声を使って、家族へオレオレ詐欺をすることもできるし、誘拐された被害者を装って身代金を要求することもできます。
実際にディープフェイクが悪用された事例は世界中で確認されています。今回公開された事例でも、取引先の専務になりすました攻撃者が本人の声を模倣しており、ディープフェイクの手口を使った可能性もあると指摘しています。
ビジネスメール詐欺の対策として、相手が本人であるかを確実に確認することと、メールアカウントを適切に管理することが必要です。
まず、メールや電話の相手が確実に本人であるか確認することが必要です。メールであれば送信者のメールアドレスを確認したり、それでも怪しいと感じた場合はメール以外の方法で、本人が意図して送ったメールか確認したりすることが求められます。電話の場合は、着信した通話で確認するのではなく、信頼できる電話番号にこちらから発信して、本人であることを確認しましょう。
ビジネスメール詐欺が行われる以前に、メールが盗聴されている可能性もあります。よって、メールアカウントのパスワードを複雑にしたり、二段階認証が提供されている場合は積極的に利用することが必要です。また、メールを受信するパソコンのウイルス対策やOSを最新時の状態にするなど、基本的なセキュリティ対策も行いましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
