ITニュース速報

IT関連のニュースをお届けします
IT、ICT,タブレット、コンピュータ、パソコン
PC、セキュリティ、iPhone、iPad、mac
などの情報を日記にのせていきます

    カテゴリ:セキュリティ > ウイルス


     7月17日ごろからマルウェアEmotet」の感染につながるメールが再び拡散されていると、米MicrosoftやJPCERT コーディネーションセンター(JPCERT/CC)が注意を呼びかけている。メールに添付されたファイルなどを通して感染する恐れがある。

    【その他の画像】

     Emotetは、感染したデバイスから情報を盗み取ったり、盗んだ情報を使ってスパムメールを送信し、感染を拡大させたりするマルウェアメールに添付されたWordファイルなどを開いた際にマクロを有効化するとEmotetに感染する可能性がある。

     2019年10月ごろから日本でも感染が広がっていたが、20年2月には沈静化していた。JPCERT/CCは再拡大の恐れがあるとして注意喚起するとともに、Emotetに関する情報の提供などを呼びかけている。



    (出典 news.nicovideo.jp)

    マルウェア「Emotet」、再拡大の恐れ 情報窃取やスパムメール拡散の可能性も


    またマルウェア「Emotet」って最悪ですね!!








    <このニュースへのネットの反応>

    【マルウェア「Emotet」、再拡大の恐れ 情報窃取やスパムメール拡散の可能性も】の続きを読む


    SMSの詐欺メールが多い理由は成功率の高さとコロナ禍

     最近、「フィッシング詐欺メールで騙されそうになった」という人が増えている。主な被害例は

    メールに記載されていたURLクリックしたら偽サイトに飛ばされた
    ドメインの部分が【annazon.com】などになっていたが気づかなかった


     というものだ。

     自分は騙されないぞ、と思っている人すらうっかり騙されてしまうことすらあるこの手法。騙されないためのポイントをITジャーナリスト三上洋氏に聞いた。

    「いわゆるフィッシング詐欺メールの被害は、フィッシング対策協議会の発表によると2019年5月に3,327件だったのに対し、2020年5月には14,245件と5倍近くにまで増えている状況です。

    もともと2~3年前から増えている状況ではあるものの、特に2019年の後半から特に急増しました。中でも、直近の数字を見ると、3月は約9,600件、4月に約11,000件、5月に約14,000件とどんどん増えています。

    この要因として、ひとつ目にSMSショートメッセージサービス……電話番号がわかっていれば送ることのできるメール)での被害が増えていることが挙げられます。スマホ狙いのフィッシング詐欺ではSMSが主流になっています。スマホではSMSの通知をオンにしている人が多いため開封率が高く、犯人にとっては『成功率が高い』のです。電話番号をランダムに打てばいいので送信も簡単です。成功率が高く簡単なことから、犯人側も送信数を増やしているものと思われます。

    ふたつ目の要因として、新型コロナウイルスの影響が考えられます。コロナ対策を騙ったフィッシング詐欺が増えているため被害に遭いやすいことと、家ごもりのためスマートフォンパソコンを見る時間が多いため、その『成功確率』が上がってしまっていると予想できます」(三上洋氏、以下同)

    ◆意識の高い企業はすでにURL付きSMSを使用していない

     確かに最近SMSで配達業者を語ったものが筆者のスマートフォンにも多く届くようになった。普段こうしたフィッシング詐欺メールには騙されないぞ、と意識が高いつもりであったが、それでも荷物を待っているタイミングでこうしたSMSが来ればついクリックしてしまいそうになる。

     なかには堂々と、「ヤマト運輸です」「佐川急便です」などと記載されているものもある。しかし、三上氏はSMSでこうした内容が届いた場合は「すべて詐欺だと思うべきだ」と言う。

    URLが貼ってあるSMSは全て詐欺だと思って良いでしょう。もちろん、一部の事業者には詐欺ではなくサービスの一環でSMSURLを貼り付ける手法を取っているところもあります。しかし、『詐欺と紛らわしい』と批判されてしまっている状況です。そのため、多くの企業はURL付きSMSをそもそも使わなくなっています。ですから、URL付きSMSで企業名を語る=詐欺だと思って良いでしょう」

    メールでのフィッシング詐欺の手法はセキュリティを騙る

     SMSURLは押さない!ということは分かった。しかし、通常のメールではURLから接続をする場面は多い。具体的に「URLがこのスペルになっていたら詐欺」などがわかれば注意しやすい気もするが……

    「『Amazon』がよく見ると『annazon』や『annaz0n』になっているといった、そっくりドメイン系はフィッシング詐欺では常套手段です。しかしこうしたドメインは、詐欺だとわかるとフィッシング対策協議会や日本のセキュリティ機関JPCERT/CCなどが『テイクダウン依頼』を行い、サーバーの会社に潰してもらっています。するとそのドメインは使えなくなりますが、新たに量産される……といういたちごっこが続いているわけです。そのため、具体的に『このドメインには注意しよう』という対策はできません」

     対策としてはSMSと同様、「安易に押さない」ことが大切なのだと三上氏は語る。

    メールの内容を吟味したり、本物か偽物かを考えたりするのではなく、たとえ本物であっても基本的にはメールURLを押さないようにすることです。少しでも不安に思ったら来たメールに記載のURLからではなく検索して、あるいはブックマークなど本物だとわかっている手段で、サイトを開きログインしてください。そのくらい注意深くならないといけないくらい、詐欺は多いということです」

     三上氏によると、こうしたフィッシング詐欺メールの内容は、ほとんどがセキュリティ関係が多いという。

    不正アクセスがありました」
    「あなたのクレジットカードが不正に使われました」
    「外国からアクセスがあったのでログインして確認してください」
    「買い物を勝手にしていますが本人ですか?確認してください」

     など、不安をあおられるものが多い。そのため、ついうっかりURLを押してしまう人が多いのだという。万が一うっかりURLクリックするとその後何が起こるのだろうか。

    「最近クレジットカード会社やショッピングサイトのフィッシング詐欺メールで多いのは、クレジットカード番号を盗み取るものです。偽サイトに誘導し、クレジットカード番号や暗証番号などを入力させ情報を得ると、その後そのクレジットカードが不正利用されてしまいます。

    携帯電話会社を騙るフィッシング詐欺メールコロナ以降非常に増えています。ドコモソフトバンクなどを騙って『特定給付金携帯電話のサイトから申請できます』『あわせて携帯電話料金を3万円値引きします』といった内容が多いです。偽サイトに誘導し、IDとパスワードを入力させようとします。最近は携帯電話会社のIDとパスワードが分かればd払いなど買い物ができてしまうことが多いため、クレジットカード同様、不正利用がされてしまう被害が報告されています」

     万が一騙されてしまい不正利用されていることに気づいた場合にはどうすればいいのだろうか。

    「騙された場合には、クレジットカード会社や携帯電話会社に連絡することで取り消しができることがあります。そのため、クレジットカード携帯電話の利用明細はちゃんと確認することが大切です。低額なものを長く盗み取るという詐欺も報告されていますので、高額な明細だけでなく全てをきちんとチェックしましょう」

    ◆「ワンタイムパスワードがあるから大丈夫」と過信してはいけない

     また、近年増えているのは便利になったインターネットバンキングによる詐欺被害だ。三上氏によると、2019年9~10月くらいから急増しているという。

    「もともと2000年代後半から2010年代前半にかけてインターネットバンキングでの詐欺は多かったものの、銀行がワンタイムパスワードを導入したことで被害が大きく減っていたはずでした」

     ワンタイムパスワードといえば、インターネットバンキング利用時に一時的に利用する数字6桁などの暗証番号だ。トークンと呼ばれる電卓のような端末やスマホアプリなどで表示されるもので、有効期限が1分間などすぐに使えなくなってしまうことが特徴で安全面が保障されているように思うが……

    「しかし最近、過去最悪ペースインターネットバンキングでの詐欺被害が増えているのです。その手法としてはは恐らく、フィッシング詐欺メールを送り、記載のURLからワンタイムパスワードを入力させます。その後、ワンタイムパスワードが有効な約1分間の中で犯人が勝手に不正送金したり、登録の携帯電話番号を勝手に変更するなどの手口だと推測されています」

     安全のために使われているワンタイムパスワードさえも、このように不正送金に使われてしまうというのはあまりにも怖い。

     改めてこうしたフィッシング詐欺メールへの対策を教えてもらった。

    SMS及び、メールのリンクはクリックしないこと
    ・たとえ本物であってもメールのリンクはクリックしないこと(セキュリティ面で不安なことがある場合はサイトに直接アクセスし確認する。本当に不正アクセスなどがあればサイトにログインした際に確認できる)
    ・ID&パスワードクレジットカード番号を入力させる画面では注意深くURLを確認すること

     ちなみに、Googleの設定でパスワードを保存できるようにする自動入力機能があるが、これは最初に正しいサイトで登録していれば、勝手に偽のサイトにもログインしてしまうことはないと言う。

    「しかし、1回入力してしまえばその後は同じサイトにアクセスするとパスワードが入力された状態になるので、最初のパスワード保存時には十分注意してください」

    「自分は絶対騙されない」と過信することなく、警戒しすぎるくらいでもちょうどいい。怪しいと感じたら、ためらわず企業などに相談しよう。
    <取材・文/松本果歩>

    【松本果歩】
    恋愛・就職・食レポ記事を数多く執筆し、社長インタビューから芸能取材までジャンル問わず興味の赴くままに執筆するフリーランスライターコンビニを愛しすぎるあまり、OLから某コンビニ本部員となり、店長を務めた経験あり。Twitter@KA_HO_MA

    画像/Adobe Stock (以下同)


    (出典 news.nicovideo.jp)

    「不正アクセスがありました」メールは信じるな。フィッシング詐欺の最新手口

    これ怖いですね!!

    皆さんもお気をつけください!!




    <このニュースへのネットの反応>

    【「不正アクセスがありました」メールは信じるな。フィッシング詐欺の最新手口】の続きを読む


     コンピュータシステムや端末に何らかの不正な働きかけをし、その利用者や所有者の利益に反する行いをするサイバー攻撃。その歴史は古く、今から30年以上前の1989年には、既に現在のランサムウェアに相当するものが登場している(インターネットではなくフロッピーディスクを通じて拡散されたそうだ)。それ以来、DDoS攻撃や標的型攻撃など、その数や種類は大幅に増えており、もはや人間だけで対処するのが難しいレベルに達している。

    【その他の画像】

     サイバー攻撃の増加と多様化によって、セキュリティ人材も不足してきている。高度化した攻撃に対抗するには高度な知識と経験が要求されるため、そうした人材を一朝一夕に増やすわけにもいかない。その意味でも、現在のセキュリティ対策には機械による自動化が欠かせなくなっている。

     こうした状況において、AIは攻撃側と防御側の双方で活用されている。AIを悪用し、サイバー攻撃をさらに高度化しようという取り組みと、逆にAIを活用して攻撃に対抗しようという取り組みが並行して行われているのだ。今回はそうした動きのいくつかを見ていこう。

    DDoS攻撃を進化させるAI

     ある意味で、既にサイバー攻撃には「人工の知能」が広く活用されているともいえる。例えばDDoS攻撃では、大量のbotを一斉に標的のサーバアクセスさせることでシステムダウンさせようとする。個々のbotの振る舞いは非常に単純なものだが、自律的に動き、攻撃という目的を実行していることは変わりない。ちょうど生物か否か曖昧な存在であるウイルスが、単純なメカニズムでありながら、まるで悪意を持っているかのように私たちを病気にさせるのと一緒だ。

     確かにこのような、単純な振る舞いをするプログラムを大量に用意し、意図した結果(コンピュータシステムへの攻撃)をもたらすというのも、セキュリティの文脈上では無視できない問題だ。ただ今回の記事では、より高度な学習や判断を行うAIを利用する例を考えてみたい。

     そうした例の一つが、DDoS攻撃の高度化だ。

     最近はIoT機器の増加によって、DDoS攻撃の規模はさらに拡大しつつある。さまざまな機器に感染した大量のbotが「botネット」を形成し、標的となるサイトサーバに攻撃を仕掛けるわけだ。そうした巨大なbotネットの管理を、機械学習を応用したAIに任せるという可能性が指摘されている。この「司令官」役を演じるAIは、攻撃対象のシステムの振る舞いや、トラフィックのパターンなどを学習して、どうすれば異常の検知や防御がしにくくなるかを把握する。その上でbotに指令を出し、攻撃を指揮するのである。

     カレブ・リータル氏という米国のIT起業家は、以前米Forbesに寄稿した文章で、世界中のサイバーセキュリティ会社や公的機関が発表している、攻撃や脆弱性に関するアラートが、セキュリティ対策において逆効果になると指摘している。攻撃者は、アラートリアルタイムに収集・分析することで、新たな攻撃方法のヒントを得たり、被害者やインターネット全体がサイバー攻撃に対してどのように反応しているかを把握したりするというのだ。

     本連載でも解説したように、AI技術の高度化によって、機械に人間の書いた文章を読ませ、情報を把握することが可能になってきている。特にこうしたアラートは、当然ながら定型のフォーマットに従って発表されることが多いため、一度学習させてしまえばより簡単に情報が引き出せるようになる。セキュリティ対策として共有される情報が、逆に攻撃材料に使われるかもしれないわけだ。

     一方で、通常の検索エンジンではアクセスできない「ディープウェブ」で取引される脆弱(ぜいじゃく)性に関する情報(ゼロデイ攻撃に利用されるセキュリティホールの情報など)を、AIで自動的に探させる可能性を指摘するセキュリティ専門家もいる。こちらはより直接的に攻撃を目的とした情報になるが、いずれにせよ「どこに弱点があるか、どう攻撃すれば良いか」もAIに考えさせる時代になりつつあるといえる。ちょうど株取引において、アルゴリズムが膨大な情報をリアルタイムに収集し、一瞬の情報格差を利用して超高速で取引するという手法が一般化したのと同じ状況が生まれている。

     リータル氏は前述の寄稿の中で、ディープラーニングを利用したAIが脆弱性を検知するだけでなく、その攻撃に適した手法やツールまで提案するようになり、人間はそれに従って行動する立場になると予想している。実際にディープウェブでは、DDoS攻撃用のツールも調達できるのだ。

    ●人間は音声合成にだまされる

     特定の企業や個人の情報端末に不正アクセスすることを目的とした標的型攻撃でも、AIを活用する例が出てきている。

     標的型攻撃では、ターゲットが持つさまざまな特徴に合わせて、攻撃内容が調整される。対象が企業であれば、実在する社員や部署の名前でメールを出したり、社内で使われる独特な言い回しをまねしたりといった具合だ。

     そうした攻撃に利用する情報(社員の名前や、彼らが使うアカウントパスワードなど)を入手する際、「ソーシャルエンジニアリング」という手法が使われる場合がある。これはサーバなどに物理的な不正アクセスを行って情報を抜き取るのではなく、それを知る人物から情報を教えてもらうというものだ。具体的には、ターゲット企業が捨てたゴミを調べる、社員に成りすましてIT部門に電話し、パスワードを教えてもらうといった方法がある。

     NTTデータによれば、近年ソーシャルエンジニアリングによる被害が増えており、2013年から18年にかけて2倍以上増加しているという。この記事では、「AIやTTS音声合成によるテキスト読み上げ)を駆使した音声クローン技術の発展により、その手法が巧妙化するとの見方」があるとされているが、フランスの保険会社Euler Hermesが、実際にそのような事件が起きたと発表している。

     それによれば、被害に遭ったのは英国の某エネルギー会社。彼らは企業版の振り込め詐欺にだまされてしまったそうだ。

     まず詐欺師は、このエネルギー会社の親会社であるドイツの某企業を装ったメールを送信し、そのメール内でハンガリーにある別の取引先企業に送金を行うよう指示。そして親会社のCEOそっくりの声を合成し、その声でエネルギー会社のCEOに電話をかけ、重ねて送金を命じた。この音声はドイツ風のアクセントや喋り方を完璧に再現したものだったため、エネルギー会社のCEOはすっかりだまされてしまい、言われるまま20万ユーロ(約2400万円)もの大金をハンガリーの会社に送金してしまった。このお金は、その後さらにさまざまな会社を経由し、行方がつかめなくなってしまっている。

     詐欺師は大胆にも、この送金の後、2回目の送金をエネルギー会社に要求してきた。そこでエネルギー会社のCEOが親会社に電話をかけ、詐欺であることが発覚したそうだ。

     米カリフォルニア大学バークレー校のジュリアナ・シュローダー氏は、同じ情報を文章で伝えた場合と、口頭で伝えた場合を比較し、情報の受信者が発信者に対して抱く感情に違いがあるかを調査した。すると音声で伝えたほうが、相手がより知的で、有能で、思慮深いと感じる傾向があると判明したそうだ。また米アラバマ大学バーミンガムコンピュータサイエンス学部の研究では、人間の脳はよく似た人間の音声の聞き比べができない可能性があると指摘されている。この研究を指揮した、主任研究者のニテーシュ・サクセナ氏は、「人間は音声モーフィング(誰かの音声を別の人の音声そっくりに置き換える技術)を使用した攻撃に対し、根本的に脆弱な存在である可能性がある」と指摘している。音声によってより「人間らしさ」を獲得したAIが、ソーシャルエンジニアリングの強力な武器となっていくかもしれない。

    サイバー攻撃への対抗

     では、サイバー攻撃への対策にAIはどう活用されているのか。まずDDoS攻撃への対処を見てみよう。

     DDoS攻撃は通常のリクエストを装ってサーバネットワークに負荷をかけるため、バイラル動画のように自然発生的な理由によるトラフィックの増加なのか、悪意のある攻撃なのかを判断しにくい。そこで平常時のトラフィックや、攻撃された際のパターンなどを学習させ、AIに判断させようというアイデアが具体化されている。

     ファイアウォールなどのセキュリティ関連機器メーカーである米Fortinetは、機械学習を活用して脅威を検知する「FortiGuard AI」を18年に発表している。正規の通信と悪意ある通信をAIに学習させ、ソフトウェアに自律的に脅威の収集、分析、分類をさせるものだ。日本のA10ネットワークスも、19年に機械学習を活用した「A10 One-DDoS Protection」を発表している。平常時のトラフィックを学習させることで、攻撃か否かを判断するしきい値設定を手動で設定しなくても、AIが自動的にDDoS攻撃を検知してくれるという。

     AIに過去のデータを学習させることで攻撃の傾向を把握しようというアプローチは、他にも見られる。またそうした製品やテクノロジーの中には、新しいデータや予測結果をAIが自動的に得て学習を行い、常に最新の攻撃に備えたり、新しい手口であっても検知を可能にしたりするものもある。

     EDR(Endpoint Detection and Responseネットワークに接続した端末における脅威の検知と対策)の世界では、そうしたAI活用の例が既にある。

     例えばコンピュータウイルスマルウェア対策として、以前は過去の攻撃パターンと一致しているか否かを見ていたが、それでは新しい手法の攻撃を検知できない。そこで最近では、ネットワークやトラフィックの異常を検知する場合と同じく、特定の端末やシステムの正常な状態をAIに学習させ、その状態と大きな差がないかどうかを判断させる仕組みが開発されている。

     もちろんAIの判断が常に正確であるとは限らない。他のあらゆるAI支援型システムと同様に、最終的には人間が重要な判断や決定を下さなければならないだろう。しかしAIがある程度までの情報整理を行ってくれることで、経験の浅いセキュリティ担当者でも攻撃に気づいたり、熟練の担当者の負荷を軽くしたりできる。

    ●人間の脆弱性をAIでカバー

     一方で、ソーシャルエンジニアリングのように生身の人間の弱点を突くような攻撃への対処はどうだろうか。これについては、人間には判別が難しい対象をAIで検知する手法が開発されつつある。

     例えば米Adobe Systemsは19年、カリフォルニア大学と協力して、「Photoshopで加工された人間の顔」を検知するツールを発表している。実際に加工前と加工後の顔画像を提示して、どちらが加工された画像なのかを判別させるテストを行ったところ、人間の正答率は53%だったが、検知ツールは99%だったという。

     画像だけでなく文章でも同様の例がある。MIT-IBMワトソンAI研究所とハーバードNLPの研究チームは、AIにAIが書いた文章を検知させるという実験をした。特定の自然文生成アルゴリズムを対象とした実験ではあるが、自動生成されたものと人間による文章を与えたところ、ある程度まで「機械によって生成された可能性」を指摘させることに成功している。

     音声については、19年に米Google合成音声データベースを公開し、偽音声を検知する技術の開発を後押ししている。実際の音声と合成音声データを比較させることで、わずかな違いをAIに学習させようというわけだ。とはいえ音声合成技術の側も日進月歩であるため、Googleは順次データセットを追加する予定としている。

     ただこうした取り組みについても、100%の精度を期待するわけにはいかないだろう。最近では、機械学習のAIにちょっとしたノイズデータを与えることで誤作動を引き起こす「Adversarial Attack」(敵対的攻撃)や、人間には聞こえない周波数の音波でAI音声アシスタントを操る「Dolphin Attack」(イルカ攻撃)と呼ばれる手法も登場している。こうした攻撃に対処するには、今度は人間の技術者がAIを支援しなければならない。

     こうした攻防は常にいたちごっこであり、人間と機械が双方を補いながら、精度と効率を高めていく努力が求められる。

     通常の犯罪と同様に、サイバー攻撃も最新の状況を分析して、まだ人々が気付いていなかったり慣れていなかったりする脅威を利用する。例えば新型コロナウイルス感染防止策として多くの企業がテレワークを導入したことで、それを標的としたサイバー攻撃が1~3月の間で6500件以上発生したという。またワクチン開発に関係する情報を狙ったものかもしれないが、医療機関や学術機関を狙った攻撃も増加している。こうした動きに素早く対処するためには、今後もサイバーセキュリティにおけるAI導入の推進と高度化が欠かせないだろう。



    (出典 news.nicovideo.jp)

    AIの攻撃をAIで防御、サイバーセキュリティの“いたちごっこ”最新事情

    これ怖いですね!
    AIの闘いですね!!笑

    おすすめ!世界で一番売れているーノートン




    <このニュースへのネットの反応>

    【AIの攻撃をAIで防御、サイバーセキュリティの“いたちごっこ”最新事情】の続きを読む


     マウスコンピューター5月15日、同社社員のメールアドレスから1220件のフィッシングメールが取引先の企業に向けて送信されたとして謝罪した。社員が閲覧した偽サイトメールのIDとパスワードを盗まれ、メールアカウント不正アクセスされたことが原因としている。

    【その他の画像】

     社員のメールアカウント不正アクセスを受けたのは8日。同社宛てに送られたフィッシングメールから社員1人が偽サイトへ誘導され、メールのIDとパスワードを盗まれた。12日に、フィッシングメール受信者から連絡を受けて事態が判明。メールアカウントパスワードを変更するなどして不正なアクセスを遮断した。

     同社はメール受信者に対し、メールを受け取ってもIDやパスワードを入力せず、すぐに削除するよう呼びかけている。

    マウスコンピューターのWebサイト


    (出典 news.nicovideo.jp)

    マウスコンピューター、フィッシングメール1220件誤送信 


    これヤバイですね!
    しかもエモテットならもっとヤバイ!!





    <このニュースへのネットの反応>

    【マウスコンピューター、フィッシングメール1220件誤送信 偽サイトでメール情報盗まれ】の続きを読む


     日本経済新聞社は5月12日、同社グループ従業員のPCがウイルスに感染し、社員らの氏名やメールアドレスなど1万件以上が流出したと発表した。情報が悪用された事例は報告されていない。

    【その他の画像】

     流出したのは同社グループの社員、OB、派遣社員アルバイト、業務委託先社員ら1万2514人分の氏名、所属、メールアドレス。読者や取引先の情報、取材で得た情報などは流出していないとしている。

     8日、同社グループ従業員宛のメール経由でPCがウイルスに感染。日本経済新聞グループマルウェア検知システムを導入しているが、今回のウイルスは新型で異常を検知するのが遅れたという。

     同社は外部からの不正な通信を遮断。今後は情報が悪用されていないか監視を続けるとともに、セキュリティ対策を強化する。

     同社グループ関係者に成り済ましたメールが増える可能性もあるとして注意を呼びかけている。

    日本経済新聞社のWebサイト


    (出典 news.nicovideo.jp)

    日経新聞にサイバー攻撃、社員情報など1万件以上流出 メール経由で新型ウイルス侵入

    日経新聞でこんなことあるんですね!
    皆さんもメールには十分気をつけてくださいね!!


    ノートン 360、PCもMacもスマホもこれ一本!

    <このニュースへのネットの反応>

    【日経新聞にサイバー攻撃、社員情報など1万件以上流出】の続きを読む

    このページのトップヘ