ITニュース速報

IT関連のニュースをお届けします
IT、ICT,タブレット、コンピュータ、パソコン
PC、セキュリティ、iPhone、iPad、mac
などの情報を日記にのせていきます

    カテゴリ: セキュリティ


    Photo: Sandor Szmutko / Shutterstock.com

    物々しいけど、これが今のリアル

    今世界中で、ジョージ・フロイドさんの死をきっかけにしたBlack Lives Matterの抗議活動が続いています。その多くは平和的なものですが、それでも米国の捜査機関は、スマホデータなどを通じてデモ参加者の動向をトラッキングしていると言われています。

    というか、私たちのスマホとかネット利用のデータは、警察だけじゃなくいろんなところに、我々が意識しないうちに流れていってます。そんなデータの流れを把握し、あわよくば食い止める方法を米GizmodoのShoshana Wodinsky記者がまとめてくれました。

    今はみんな、無力感を感じても仕方ないと思います。米国のあらゆる街で丸腰のデモ参加者が警察官の暴力を受け、その警察官は米国の法制度トランプ政権からのサポートで守られているんです。

    米国議会では、2020年というこの時代にありながら、リンチヘイトクライムとして扱うのがいいかどうかなんて議論をしています。いっぽう新型コロナウイルスパンデミックは、まだ終わる気配がありません。そんなこんなで、今のところ警察の暴力被害にも遭わず、コロナにもかかってなくて、表面的には無傷な人であっても、デジタル面では想像以上にプライバシーが脅かされています

    でもプライバシーに関しては、体を張らなくてもできることがあります。ただ、必ずしも簡単じゃありません。

    皮肉なことに、デジタルプライバシーについて知れば知るほど、より深い無力感を感じてしまうはずです。だって我々をデータ収集技術から守るプライバシー保護法が成立したと言われてますが、ちょっと調べれば、守られてないことがわかりますマスクを着けてれば顔認識されずに済むと言われますが、ちょっと調べれば、そうでもないことがわかります。もうちょっと調べれば、すべての大手テック企業がうたう「プライバシー保護」という金科玉条は、建前だらけだとわかります

    先日、スマホがいかに警察からトラッキングされているかという記事を書いたところ、それをなんとかしたい活動家界隈の人たちから無数の質問が押し寄せました。でも私個人の中では、罪悪感に近い何かがこみあげてきました。

    電子フロンティア財団は「サーベイラン護身術」と称してプライバシーを自衛するための徹底的なガイドをいろいろまとめててほんとにすごいんですが、こういうガイドとかいろんなリサーチは結局、いろんなアプリとかサイトを作る企業とか人がウソをついてはいないという仮定のうえに成り立っています。だから多くの企業が「データを『売って』はいない」と言いながら、見えないところで外部に共有しています。彼らは、我々が彼らのウソを証明できないとタカをくくってるんです。そして多くの場合、残念ながらその通りなんです。

    FacebookGoogleのような企業は私たちに忠実(または正直)ではないかもしれませんが、ビジネスの相手企業に対しては正直でなくちゃいけません。相手企業とは何百万社もいる広告主や何百社というアドテク系パートナー、そしてその向こう側でキャッシュをかき入れる有象無象の投資家やベンチャーキャピタル、とかのことです。

    デジタルプライバシーを守りたい我々にとって最善の策は、彼ら企業が考えるのと同じように考えることです。つまり、ビジネスとして捉えるのです。私は「活動家におすすめのアプリ10選」みたいな記事は自信を持って書けないんですが、慎重にネットを使うってどういうことなのか、コツみたいなものはまとめられます。なので以下、よく聞かれる3つの質問への答えとしてそれをお伝えしていきますね。

    「VPNとかTorみたいなブラウザを使えば、警察から見えなくなる?」

    みんなそれぞれ、自分のプライバシーをどうしたいかによって、VPNまたはTorの両方を使ってもいいし、片方でもいいし、どちらも使わなくてもいいです。

    ターゲティング広告技術につかまりたくない人は、Firefoxみたいなブラウザを使えば、Chromeのシークレットモードではできないこと助けてくれます。VPNを使えば、ISPに売りとばされるかもしれないWeb利用ログを隠せるし、IPアドレスを悪用しようとする広告主(または当局)もブロックできます。

    とはいえ、VPNはVPNで規制がないことで問題になっていて、VPN運営者自身がデータを売り飛ばしていたケースも一度や二度じゃないので、事前にその事業者の素性を調べておくのは意味があります(VPNの幻想については、ここにまとまってます)。

    トラッキングされにくくするにはTorが一番かもしれませんが、Torにもいくつか問題があります。まずTorバックエンドユーザーアイデンティティを隠すために使われている仕組みは非常にパワフルなんですが、ブラウザがすごく遅くなって使いにくくなります。また皮肉なことに、超セキュアなブラウザを使ってるってことで、当局からはかえってあやしい人物フラグを立てられてしまうんです。

    The Interceptでもプライバシーを守るための丁寧なガイドをまとめていて、これはすごくオススメです。というのは、彼らが取り上げているツールの中には、悪意のある人と広告主両方から身を守れるものがあって、一石二鳥なんです。

    でもそんなプライバシー保護ツールも信じられないって人には、漏れてる可能性のあるデータモニターする方法も紹介されてます。

    「抗議活動のためのアプリとかサイトを使ってるんだけど、データがどこに行くか心配。自分でチェックする方法はある?」

    まさにこの目的のためのツールがたとえばWiresharkで、米Gizmodoでも過去に取り上げてました。でもWiresharkとか、トラフィック監視ツールCharles Proxyを使うには、多少のコーディングのノウハウが必要です。

    私は個人的にCharles Proxyを使って、サードパーティが私のスマホから引き出しているデータトラッキングしてます。この詳細を知りたい人には、初心者視点から解説したすごく良いガイドもあります。

    プログラミングなんてめんどくさそう…と思う人でも、監視を監視できる方法があります。たとえばBuilt WithではWebサイトに潜んでいるトラッカーをブレークダウンできるし、GhosteryPrivacy Badgerといったツールを使えば監視をブロックできます。

    スマホデータコーディングスキルなしで調べるのはちょっと難しいんですが、できなくはありませんiOSでは、アプリが要求するパーミッションチェックしやすくなっているし、Androidではアプリが引き出したパーミッションは、Androidコミュニティの人たちが作ったオンラインツールで自由に確認できるし、自力で確認する方法もあります。

    iOSAndroidどちらでも、App FiguresApp Annieといった有料サービスを使うと、自分の入れてるアプリデータを吸い取るサードパーティのアドテクソフトウェアがくっついてきてないかどうかチェックできます。

    個人情報」にはいろんな意味がありますが、私はいつも世界一残念なレイヤーケーキを思い浮かべるようにしてます。その片側には私たちのスマホがあり、反対側にはデータブローカーがいるんです。ひとつひとつのサードパーティは一見無害に見えるかもしれませんが、深堀りしていくと、アプリとかサイトがユーザーの位置情報をのぞき見してるとかだけじゃ済まなくなって、そういうデータを警察(または他の誰か)に渡しているうさんくさい会社が見えてくるかもしれません。

    上に紹介したようなツールを使うと、アプリによっては、自分のデータが別の誰か(その相手はひとつとは限らず、10社、20社いるかもしれません)に渡っているのを確認できるかもしれません。そのとき、人によっては怒りや絶望、またはむしろ、自分のパラノイアは正しかったという暗い安堵を感じるかもしれません。それでいいんです! 最悪な気持ちになるのは、この作業をちゃんとやっているからです。

    「あるアプリ/サイトが私のデータをFacebook/Google/親戚のおじさん、などなど、に送っていることがわかりました。その意味は?」

    これもケースバイケースで、どんなアプリやサイトがそれをやっているか、どんなデータが送られているか、誰に対してデータを渡したくないのか、によって違ってきます。この種のことを解析するには何時間も(もしかしたら何日も)かかり、だからこそそういったあやしいサービスがあればそのこと自体ニュースにもなりえます。

    突き詰めれば、テック業界のメジャーな会社もそうでないところもサードパーティトラッカーを使っている理由は、それが開発者にとって載せやすく、わかりやすいからです。開発者ならトラッカーの送るデータを確認できるんだとしたら、つまりは誰でも見られるってことです。

    たとえば、Zoomユーザーの通話からどんなデータを取り出してFBIに渡しているか言わないかもしれませんが、それがFacebookシェアしているデータソフトウェアコードの中であらかじめ決められたボックスに入っている必要があります。Zoomが、またはFacebookデータ共有している何らかのアプリが、Facebookデータを共有するには、受け渡しするデータの定義をはっきり決めとかなきゃいけないんです。

    そしてその定義には、たとえば「ユーザーアプリを開くとき必ず」とか「広告をクリックしたとき」みたいなことが入ってるかもしれませんが、Zoom通話の盗聴は入ってないはずです。我々が「データ」をいかに定義するかは、すごく大事です。

    2019年American Press Instituteの調査によれば、米国民の4分の3近くが、権力を監視するための記者の重要性に同意していました。私もその多数派のひとりです。でも権力の乱用が今みたいに組織的にじわじわ進んできた場合、突然起きた場合よりも厄介です。警察の人種差別を告発する場合でも、それが明白なときのほうが言いやすいです。同様にテック企業を告発するのも、ユーザーデータ移民・関税執行局(ICE)に引き渡しているみたいなときはしやすいんですが、静かにゆっくりと進んできた悪事の追求は難しくなります

    人権に関してもデジタルプライバシーに関しても、腐敗は腐敗を呼んでいて流れを変えるにはたくさんの人がそれぞれに自分自身のやり方で行動する必要があります

    組織的人種差別と戦う方法は、共感できる団体に寄付することかもしれないし、街で起きているデモに参加することかもしれません。そしてオンライン生活を守るということは、アプリの裏をかくということなんです。

    Source: New RepublicEconomistThe RootElectronic Frontier Foundation(12)、The GuardianArs TechnicaStatistaFacebook123)、MozillaThreat PostLifehacker(123)、DBS BuzzFeedThe InterceptCharles ProxyKnight LabBuilt WithGhosteryPrivacy Badger9to5macAAPKSSISIKApp FiguresApp Annie 、The Verge(12)、FortuneBusiness InsiderAmerican Press InstituteVoxTHE CITYWashington Post



    (出典 news.nicovideo.jp)

    このアクセス、誰かに見られてる?と思ったら。監視を監視し返す方法

    これ気になる記事ですね!!





    <このニュースへのネットの反応>

    【このアクセス、誰かに見られてる?と思ったら。監視を監視し返す方法】の続きを読む


    【元記事をASCII.jpで読む】

     パスワードは私たちについて多くを語っています。それは私たちが優先すること、私たちが大切にしていることについて話します。妻のパスワードに私の誕生日ではなく子供の誕生日が含まれているのを最近見たとき、彼女の優先順位は明らかに子供であり、私のポジションはその次であることがわかりました・・・。

     子供の誕生日や犬の名前など、パスワードは私たちが誰であり、何を大切にしているのかを明らかにすることがあります。多くの人々がパスワードに自分の生活の関連する側面を組み込んで、覚えやすくしています。 この習慣は便利ですが、実際にはセキュリティ上の問題を引き起こす可能性があります。

     5月の第1木曜日World Password Dayとしても知られています)に敬意を表して、これらの一般的なパスワードの習慣のいくつかを調査するとともに、潜在的なハッカーからオンラインアカウントを保護するためにユーザーが対応可能ないくつかの対策やヒントについてお伝えします。

    一般的なパスワードの習慣

     私たちは人間として、物事をシンプルに保つことを好みます。これは必ずしも悪いことではありません。ただし、パスワードセキュリティに関しては理想的ではありません。Tech Timesによると、英国のNational Cyber​​ Security Centerが最近行った最も一般的なパスワードに関する世界規模の調査では、2,320万人がまだ「123456」という昔ながらのパスワードを使用しており、「123456789」は世界中で770万人が使用していることがわかりました。

     一般的な文字シーケンスの他に、多くの人々(妻を含む)も、重要な日付や愛する人の名前をパスワードとして使用しています。ハリスポールがGoogleと共同で実施した最近の別の調査によると、調査した人の60%近くが、誕生日が少なくとも1つのパスワードに統合され、33%がペットの名前を使用し、22%が自分の名前を使用していると述べています他の一般的な習慣には、複数のアカウントで同じパスワードを再利用する、紙に書き留める、コンピューターファイルに保存する、Dropboxまたは同様のプラットフォームのファイルに保存するなどがあります。

     非常に多くの複雑なパスワードを思い出すのは難しいため、これらのショートカットは理解できます。実際、以前のマカフィーの調査では、26%の個人がパスワードを覚える必要がなくなるのであれば贅沢(マニキュア、ペディキュア、マッサージなど)をあきらめることをいとわないと回答しました。さらに、回答者の34%は、パスワードを覚えやすいことを最も重視しています。

    潜在的なセキュリティリスク

     これらの手法は便利ですが、完全に確実というわけではなく、セキュリティ上の懸念が生じる可能性があります。 これは、パーソナライズされた単純なパスワードを使用すると、データがさらに危険にさらされる可能性があるためです。ハッカーは通常、誕生日、記念日、ペットの名前などの情報をオンラインで見つけることができるためです。 たとえば、あなたが時間を過ごすために取ると考えていた無害なFacebookクイズは、実際に個人情報詐欺師明らかにし、詐欺師オンラインアカウントアクセスできるようにする可能性があります。

     ユーザーがこのリスクに気づくことが重要ですが、私たちが在宅勤務をしている間は特に注意が必要です。 McAfeeのチーフサイエンティスト兼フェローのラジ・サマーニは、次のように述べています。「ますます接続されるようになった現在、データを安全に保つには、適切なパスワードであるか常に認識し、教育を継続することが不可欠です。」 それは、適切なパスワードの習慣を形成することから始まります。 「baxterthedog1234」のようなパスワードはやめましょう。

    オンラインアカウントを保護

     パンデミック後の世界では、私の子供たちを含む私の家族は毎日6時間以上オンラインで過ごしています。先月、私の6歳の娘は、学習や遊ぶために10以上のオンラインアカウントを作成しました。この新しい現実では、私たち全員が自分のためにより良いパスワードの習慣を構築し、それらを子供たちに教える機会があります。つまり、27の完全に一意で複雑なパスワードを覚えておく必要はありませんが、資格情報を安全に保つためにいくつかの簡単なベストラクティスを採用することができます。犯罪者からオンラインアカウントを保護するための次のヒントを確認してください。

    1.パスフレーズを使用

     ZDNetによると、FBIは最近、少なくとも15文字の長い文字列で複数の単語からなるパスフレーズを使用すると、ハッカーが解読するのが難しくなるだけでなく、ユーザーが覚えやすくなることを発見しました。基本的なパスワードを作成する代わりに、歌詞からお気に入りの曲、またはお気に入りの料理の材料に使用する長いパスフレーズを作成します。

    2.パスワードが一意であることを確認

     パスワードまたはパスフレーズは、保護する情報と同じくらいユニークでなければなりません。ハッカーがなんらかのオンラインアカウントパスワードを推測できた場合、複数のサイトで繰り返し認証情報をチェックする可能性があります。オンラインアカウントに異なるパスワードまたはパスフレーズを使用することで、アカウントの1つが脆弱になった場合でもデータの大部分が安全であることを知っていれば、落ち着いて対処できるでしょう。

    3.パスワードマネージャーを使用

     パスワードマネージャーまたはMcAfee Total Protection(米国)などの包括的なセキュリティソリューションを使用して、セキュリティを次のレベルに引き上げます。パスワードマネージャーを使用すると、強力なパスワードを作成し、多数のパスワードを覚える手間を省き、自動的にWebサイトにログオンできます。安全を維持することイコール複雑であるというわけではないのです。

    4.多要素認証を使用

     2要素認証または多要素認証では、身元を確認するためにテキストメッセージや安全なコードメールで送信するなど、複数の形式の確認が必要になるため、セキュリティがさらに強化されます。 GmailDropboxLinkedIn、Facebookなどの特に人気のあるオンラインサイトは、多要素認証を提供しており、数分あれば設定が可能です。これにより、犯罪者によるなりすましが成功するリスクが軽減されます。バイオメトリクスなどの高度な技術により、認証方法も進化しています。おそらく、パスワードデイは将来的に、「World No Password Day」に改名されるでしょう。

    アップデートしましょう

     製品も、情報収集もアップデートを忘れずに。安全にインターネットを利用するためのセキュリティヒントと傾向については、ニュースなどに注意を払いましょう。また、 Twitter で、ぜひ @McAfee_JP@McAfee_JP_Sec をフォローしてください。

    ※本ページの内容は2020年5月7日(US時間)更新の以下のMcAfee Blogの内容です。
    原文:What Does Your Password Say About Your Preferences?
    著者:Baker Nanduru

    パスワードを設定する際に気をつける4つのポイント


    (出典 news.nicovideo.jp)

    パスワードを設定する際に気をつける4つのポイント

    これ皆さんも気を付けてますか?

    だんだんパスワード増えてますもんね!泣





    <このニュースへのネットの反応>

    【パスワードを設定する際に気をつける4つのポイント】の続きを読む


     コンピュータシステムや端末に何らかの不正な働きかけをし、その利用者や所有者の利益に反する行いをするサイバー攻撃。その歴史は古く、今から30年以上前の1989年には、既に現在のランサムウェアに相当するものが登場している(インターネットではなくフロッピーディスクを通じて拡散されたそうだ)。それ以来、DDoS攻撃や標的型攻撃など、その数や種類は大幅に増えており、もはや人間だけで対処するのが難しいレベルに達している。

    【その他の画像】

     サイバー攻撃の増加と多様化によって、セキュリティ人材も不足してきている。高度化した攻撃に対抗するには高度な知識と経験が要求されるため、そうした人材を一朝一夕に増やすわけにもいかない。その意味でも、現在のセキュリティ対策には機械による自動化が欠かせなくなっている。

     こうした状況において、AIは攻撃側と防御側の双方で活用されている。AIを悪用し、サイバー攻撃をさらに高度化しようという取り組みと、逆にAIを活用して攻撃に対抗しようという取り組みが並行して行われているのだ。今回はそうした動きのいくつかを見ていこう。

    DDoS攻撃を進化させるAI

     ある意味で、既にサイバー攻撃には「人工の知能」が広く活用されているともいえる。例えばDDoS攻撃では、大量のbotを一斉に標的のサーバアクセスさせることでシステムダウンさせようとする。個々のbotの振る舞いは非常に単純なものだが、自律的に動き、攻撃という目的を実行していることは変わりない。ちょうど生物か否か曖昧な存在であるウイルスが、単純なメカニズムでありながら、まるで悪意を持っているかのように私たちを病気にさせるのと一緒だ。

     確かにこのような、単純な振る舞いをするプログラムを大量に用意し、意図した結果(コンピュータシステムへの攻撃)をもたらすというのも、セキュリティの文脈上では無視できない問題だ。ただ今回の記事では、より高度な学習や判断を行うAIを利用する例を考えてみたい。

     そうした例の一つが、DDoS攻撃の高度化だ。

     最近はIoT機器の増加によって、DDoS攻撃の規模はさらに拡大しつつある。さまざまな機器に感染した大量のbotが「botネット」を形成し、標的となるサイトサーバに攻撃を仕掛けるわけだ。そうした巨大なbotネットの管理を、機械学習を応用したAIに任せるという可能性が指摘されている。この「司令官」役を演じるAIは、攻撃対象のシステムの振る舞いや、トラフィックのパターンなどを学習して、どうすれば異常の検知や防御がしにくくなるかを把握する。その上でbotに指令を出し、攻撃を指揮するのである。

     カレブ・リータル氏という米国のIT起業家は、以前米Forbesに寄稿した文章で、世界中のサイバーセキュリティ会社や公的機関が発表している、攻撃や脆弱性に関するアラートが、セキュリティ対策において逆効果になると指摘している。攻撃者は、アラートリアルタイムに収集・分析することで、新たな攻撃方法のヒントを得たり、被害者やインターネット全体がサイバー攻撃に対してどのように反応しているかを把握したりするというのだ。

     本連載でも解説したように、AI技術の高度化によって、機械に人間の書いた文章を読ませ、情報を把握することが可能になってきている。特にこうしたアラートは、当然ながら定型のフォーマットに従って発表されることが多いため、一度学習させてしまえばより簡単に情報が引き出せるようになる。セキュリティ対策として共有される情報が、逆に攻撃材料に使われるかもしれないわけだ。

     一方で、通常の検索エンジンではアクセスできない「ディープウェブ」で取引される脆弱(ぜいじゃく)性に関する情報(ゼロデイ攻撃に利用されるセキュリティホールの情報など)を、AIで自動的に探させる可能性を指摘するセキュリティ専門家もいる。こちらはより直接的に攻撃を目的とした情報になるが、いずれにせよ「どこに弱点があるか、どう攻撃すれば良いか」もAIに考えさせる時代になりつつあるといえる。ちょうど株取引において、アルゴリズムが膨大な情報をリアルタイムに収集し、一瞬の情報格差を利用して超高速で取引するという手法が一般化したのと同じ状況が生まれている。

     リータル氏は前述の寄稿の中で、ディープラーニングを利用したAIが脆弱性を検知するだけでなく、その攻撃に適した手法やツールまで提案するようになり、人間はそれに従って行動する立場になると予想している。実際にディープウェブでは、DDoS攻撃用のツールも調達できるのだ。

    ●人間は音声合成にだまされる

     特定の企業や個人の情報端末に不正アクセスすることを目的とした標的型攻撃でも、AIを活用する例が出てきている。

     標的型攻撃では、ターゲットが持つさまざまな特徴に合わせて、攻撃内容が調整される。対象が企業であれば、実在する社員や部署の名前でメールを出したり、社内で使われる独特な言い回しをまねしたりといった具合だ。

     そうした攻撃に利用する情報(社員の名前や、彼らが使うアカウントパスワードなど)を入手する際、「ソーシャルエンジニアリング」という手法が使われる場合がある。これはサーバなどに物理的な不正アクセスを行って情報を抜き取るのではなく、それを知る人物から情報を教えてもらうというものだ。具体的には、ターゲット企業が捨てたゴミを調べる、社員に成りすましてIT部門に電話し、パスワードを教えてもらうといった方法がある。

     NTTデータによれば、近年ソーシャルエンジニアリングによる被害が増えており、2013年から18年にかけて2倍以上増加しているという。この記事では、「AIやTTS音声合成によるテキスト読み上げ)を駆使した音声クローン技術の発展により、その手法が巧妙化するとの見方」があるとされているが、フランスの保険会社Euler Hermesが、実際にそのような事件が起きたと発表している。

     それによれば、被害に遭ったのは英国の某エネルギー会社。彼らは企業版の振り込め詐欺にだまされてしまったそうだ。

     まず詐欺師は、このエネルギー会社の親会社であるドイツの某企業を装ったメールを送信し、そのメール内でハンガリーにある別の取引先企業に送金を行うよう指示。そして親会社のCEOそっくりの声を合成し、その声でエネルギー会社のCEOに電話をかけ、重ねて送金を命じた。この音声はドイツ風のアクセントや喋り方を完璧に再現したものだったため、エネルギー会社のCEOはすっかりだまされてしまい、言われるまま20万ユーロ(約2400万円)もの大金をハンガリーの会社に送金してしまった。このお金は、その後さらにさまざまな会社を経由し、行方がつかめなくなってしまっている。

     詐欺師は大胆にも、この送金の後、2回目の送金をエネルギー会社に要求してきた。そこでエネルギー会社のCEOが親会社に電話をかけ、詐欺であることが発覚したそうだ。

     米カリフォルニア大学バークレー校のジュリアナ・シュローダー氏は、同じ情報を文章で伝えた場合と、口頭で伝えた場合を比較し、情報の受信者が発信者に対して抱く感情に違いがあるかを調査した。すると音声で伝えたほうが、相手がより知的で、有能で、思慮深いと感じる傾向があると判明したそうだ。また米アラバマ大学バーミンガムコンピュータサイエンス学部の研究では、人間の脳はよく似た人間の音声の聞き比べができない可能性があると指摘されている。この研究を指揮した、主任研究者のニテーシュ・サクセナ氏は、「人間は音声モーフィング(誰かの音声を別の人の音声そっくりに置き換える技術)を使用した攻撃に対し、根本的に脆弱な存在である可能性がある」と指摘している。音声によってより「人間らしさ」を獲得したAIが、ソーシャルエンジニアリングの強力な武器となっていくかもしれない。

    サイバー攻撃への対抗

     では、サイバー攻撃への対策にAIはどう活用されているのか。まずDDoS攻撃への対処を見てみよう。

     DDoS攻撃は通常のリクエストを装ってサーバネットワークに負荷をかけるため、バイラル動画のように自然発生的な理由によるトラフィックの増加なのか、悪意のある攻撃なのかを判断しにくい。そこで平常時のトラフィックや、攻撃された際のパターンなどを学習させ、AIに判断させようというアイデアが具体化されている。

     ファイアウォールなどのセキュリティ関連機器メーカーである米Fortinetは、機械学習を活用して脅威を検知する「FortiGuard AI」を18年に発表している。正規の通信と悪意ある通信をAIに学習させ、ソフトウェアに自律的に脅威の収集、分析、分類をさせるものだ。日本のA10ネットワークスも、19年に機械学習を活用した「A10 One-DDoS Protection」を発表している。平常時のトラフィックを学習させることで、攻撃か否かを判断するしきい値設定を手動で設定しなくても、AIが自動的にDDoS攻撃を検知してくれるという。

     AIに過去のデータを学習させることで攻撃の傾向を把握しようというアプローチは、他にも見られる。またそうした製品やテクノロジーの中には、新しいデータや予測結果をAIが自動的に得て学習を行い、常に最新の攻撃に備えたり、新しい手口であっても検知を可能にしたりするものもある。

     EDR(Endpoint Detection and Responseネットワークに接続した端末における脅威の検知と対策)の世界では、そうしたAI活用の例が既にある。

     例えばコンピュータウイルスマルウェア対策として、以前は過去の攻撃パターンと一致しているか否かを見ていたが、それでは新しい手法の攻撃を検知できない。そこで最近では、ネットワークやトラフィックの異常を検知する場合と同じく、特定の端末やシステムの正常な状態をAIに学習させ、その状態と大きな差がないかどうかを判断させる仕組みが開発されている。

     もちろんAIの判断が常に正確であるとは限らない。他のあらゆるAI支援型システムと同様に、最終的には人間が重要な判断や決定を下さなければならないだろう。しかしAIがある程度までの情報整理を行ってくれることで、経験の浅いセキュリティ担当者でも攻撃に気づいたり、熟練の担当者の負荷を軽くしたりできる。

    ●人間の脆弱性をAIでカバー

     一方で、ソーシャルエンジニアリングのように生身の人間の弱点を突くような攻撃への対処はどうだろうか。これについては、人間には判別が難しい対象をAIで検知する手法が開発されつつある。

     例えば米Adobe Systemsは19年、カリフォルニア大学と協力して、「Photoshopで加工された人間の顔」を検知するツールを発表している。実際に加工前と加工後の顔画像を提示して、どちらが加工された画像なのかを判別させるテストを行ったところ、人間の正答率は53%だったが、検知ツールは99%だったという。

     画像だけでなく文章でも同様の例がある。MIT-IBMワトソンAI研究所とハーバードNLPの研究チームは、AIにAIが書いた文章を検知させるという実験をした。特定の自然文生成アルゴリズムを対象とした実験ではあるが、自動生成されたものと人間による文章を与えたところ、ある程度まで「機械によって生成された可能性」を指摘させることに成功している。

     音声については、19年に米Google合成音声データベースを公開し、偽音声を検知する技術の開発を後押ししている。実際の音声と合成音声データを比較させることで、わずかな違いをAIに学習させようというわけだ。とはいえ音声合成技術の側も日進月歩であるため、Googleは順次データセットを追加する予定としている。

     ただこうした取り組みについても、100%の精度を期待するわけにはいかないだろう。最近では、機械学習のAIにちょっとしたノイズデータを与えることで誤作動を引き起こす「Adversarial Attack」(敵対的攻撃)や、人間には聞こえない周波数の音波でAI音声アシスタントを操る「Dolphin Attack」(イルカ攻撃)と呼ばれる手法も登場している。こうした攻撃に対処するには、今度は人間の技術者がAIを支援しなければならない。

     こうした攻防は常にいたちごっこであり、人間と機械が双方を補いながら、精度と効率を高めていく努力が求められる。

     通常の犯罪と同様に、サイバー攻撃も最新の状況を分析して、まだ人々が気付いていなかったり慣れていなかったりする脅威を利用する。例えば新型コロナウイルス感染防止策として多くの企業がテレワークを導入したことで、それを標的としたサイバー攻撃が1~3月の間で6500件以上発生したという。またワクチン開発に関係する情報を狙ったものかもしれないが、医療機関や学術機関を狙った攻撃も増加している。こうした動きに素早く対処するためには、今後もサイバーセキュリティにおけるAI導入の推進と高度化が欠かせないだろう。



    (出典 news.nicovideo.jp)

    AIの攻撃をAIで防御、サイバーセキュリティの“いたちごっこ”最新事情

    これ怖いですね!
    AIの闘いですね!!笑

    おすすめ!世界で一番売れているーノートン




    <このニュースへのネットの反応>

    【AIの攻撃をAIで防御、サイバーセキュリティの“いたちごっこ”最新事情】の続きを読む


     マウスコンピューター5月15日、同社社員のメールアドレスから1220件のフィッシングメールが取引先の企業に向けて送信されたとして謝罪した。社員が閲覧した偽サイトメールのIDとパスワードを盗まれ、メールアカウント不正アクセスされたことが原因としている。

    【その他の画像】

     社員のメールアカウント不正アクセスを受けたのは8日。同社宛てに送られたフィッシングメールから社員1人が偽サイトへ誘導され、メールのIDとパスワードを盗まれた。12日に、フィッシングメール受信者から連絡を受けて事態が判明。メールアカウントパスワードを変更するなどして不正なアクセスを遮断した。

     同社はメール受信者に対し、メールを受け取ってもIDやパスワードを入力せず、すぐに削除するよう呼びかけている。

    マウスコンピューターのWebサイト


    (出典 news.nicovideo.jp)

    マウスコンピューター、フィッシングメール1220件誤送信 


    これヤバイですね!
    しかもエモテットならもっとヤバイ!!





    <このニュースへのネットの反応>

    【マウスコンピューター、フィッシングメール1220件誤送信 偽サイトでメール情報盗まれ】の続きを読む


     日本経済新聞社は5月12日、同社グループ従業員のPCがウイルスに感染し、社員らの氏名やメールアドレスなど1万件以上が流出したと発表した。情報が悪用された事例は報告されていない。

    【その他の画像】

     流出したのは同社グループの社員、OB、派遣社員アルバイト、業務委託先社員ら1万2514人分の氏名、所属、メールアドレス。読者や取引先の情報、取材で得た情報などは流出していないとしている。

     8日、同社グループ従業員宛のメール経由でPCがウイルスに感染。日本経済新聞グループマルウェア検知システムを導入しているが、今回のウイルスは新型で異常を検知するのが遅れたという。

     同社は外部からの不正な通信を遮断。今後は情報が悪用されていないか監視を続けるとともに、セキュリティ対策を強化する。

     同社グループ関係者に成り済ましたメールが増える可能性もあるとして注意を呼びかけている。

    日本経済新聞社のWebサイト


    (出典 news.nicovideo.jp)

    日経新聞にサイバー攻撃、社員情報など1万件以上流出 メール経由で新型ウイルス侵入

    日経新聞でこんなことあるんですね!
    皆さんもメールには十分気をつけてくださいね!!


    ノートン 360、PCもMacもスマホもこれ一本!

    <このニュースへのネットの反応>

    【日経新聞にサイバー攻撃、社員情報など1万件以上流出】の続きを読む

    このページのトップヘ