Yahoo!ニュース

米国で深刻化する個人情報の悪用、生成AIの悪用が始まった。ある日突然、身に覚えのない犯罪の犯罪者に。

大元隆志CISOアドバイザー
画像はChatGPTにより筆者作成

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

該当期間:(2024/06/24 - 2024/06/30)

■深刻化する個人情報の悪用、生成AIの悪用が始まった

米個人情報窃盗リソースセンター(Identity Theft Resource Center:ITRC)は「2023 Trends in Identity Report」を公開しました。

同レポートは「盗まれた個人情報を悪用して、犯罪を犯す"アイデンティティ犯罪"」についてまとめたユニークな調査レポートです。

アイデンティティ犯罪の総数は13197件であり、2022年から11%減少。しかし、攻撃者が生成AIなどを活用することで、より効果的かつ効率的な方法で成果を上げることに成功しており、個人や企業に対する影響は増しているためアイデンティティ犯罪を軽視するべきではないと指摘しています。

そして、2023年には以下3点のトレンドが見られたと指摘しています。

トレンド1 – 生成AIにより改善された詐欺の外観とメッセージ

アイデンティティ窃盗犯は、特に求人情報に関して、「正当」な見た目や音声での詐欺を行う技術を向上させています。これには、おそらく生成AIが関連しているだろうと述べられています。

アイデンティティ窃盗犯は被害者から個人情報を盗むために、ターゲットを厳選する傾向が見られます。そして、成功すると、被害者本人、雇用主、ビジネス、政府のアカウントにアクセスするために使用します。

2022年から2023年初頭にかけて、窃盗犯は主に被害者のソーシャルメディアアカウントを使用して、被害者、被害者の家族、友人のネットワークをターゲットにしていました。

2023年から2024年初頭にかけて、窃盗犯は正当なネットワーキングサイトや求人検索サイトに偽の求人情報を作成し、被害者を応募させるケースが増加しました。悪意のある人物は、LinkedInプロファイルや求人サイトのプロファイルを作成し、偽の企業のライブウェブサイトを用意するか、正当な企業を偽装し、偽名や元従業員の名前を使って面接を行います。

被害者が正当な「面接のお誘い」だと信じ込んだら、面接プロセスは元のプラットフォームからメール、テキスト、ビデオ会議プラットフォーム、またはサードパーティのメッセージアプリに移行します。そして、被害者は「応募用の書類」に記入し身元証明を提供するよう求められます。大半の被害者は疑うことも無く、リモートワークの新しい時代にあり、テクノロジーを使用したコミュニケーションを普通だと考えます。

そして、仕事のオンボーディングプロセスの一部であると信じ込ませ、本人確認のための運転免許証や、米国での就労能力の証明するソーシャルセキュリティナンバー、銀行口座情報等を入力させます。被害者が情報を提供した後、企業から突然連絡がなくなり、ID.meのログイン情報を提供するよう求められたりした時点で、被害者は初めて「騙された」と疑念を抱きます。

アイデンティティ詐欺の外観、感触、メッセージの急速な改善は、ほぼ確実にAI駆動ツールの導入によるものであり、AIツールは被害者により信じやすくするだけでなく、言語使用の文化的および文法的な差異を補うのに役立ちます。

この高度な技術に対する主要な防御策は、効果的で非常にローテクなものです:電話を取り、直接連絡先を確認することです

トレンド #2 – より深刻化するアイデンティティの悪用

被害者は、より深刻なアイデンティティの悪用に直面しています。

例えば、アメリカ版のマイナンバー制度といえるSSN(ソーシャルセキュリティナンバー)を他人に就労目的で悪用されたり、犯罪の有罪判決を受けた際に盗まれた個人情報が悪用され、身に覚えのない犯罪の犯人に仕立て上げられているといった事例が報告されています。

このようなアイデンティティの悪用はすぐには発見されず、解決するのにかなりの時間がかかり、回復には相当な時間が必要となる場合があります。

トレンド #3 – 犯罪者はすでに十分な情報を持っている

アイデンティティ窃盗犯は、新しい銀行口座やその他のアカウントを開設するのに十分な情報をすでに持っています。

情報漏洩、詐欺、ソーシャルメディアを通じて個人情報が広く入手可能であり、個別に入手した情報を組み合わせて、窃盗犯が悪用することが容易になっています。犯罪者は依然として現金を好みますが、アイデンティティ窃盗犯は被害者の個人情報を使用して銀行口座を開設したり、他の現金利益を得たりすることで成功を収めています。

2023年から2024年にかけて、盗んだ情報で勝手に申請されたクレジットカード、自動車ローン、住宅ローン、個人ローンの報告が増加しており、多くの被害者は口座が未払いになるまで新しい債務について知らないままでした。自分が悪意のある人物に成りすまされて契約されていたことを証明する戦いは非常に困難です。

・CISOにとって何故重要か?

個人情報の漏洩が発生すると、まず意識されるのがクレジットカード番号やマイナンバー等の重要な個人情報が含まれていなかったか?といった点が重視されますが、米国での悪用の傾向を考えると「本人になりすます情報」を断片的に集めることで、一つ一つの情報には価値がなくても「束ねる」と意味のある情報になってしまう可能性もあり、CISOとしては自社が管理する情報の重要性を改めて認識する必要があるでしょう。

■金融庁、金融機関のシステム障害に関する分析レポートを公開

金融庁は「金融機関のシステム障害に関する分析レポート」を公開しました。金融庁に提出されたシステム障害の報告書を基に作成されており、2023年度(2023年4月~2024年3月)のシステム障害の傾向と、2018年7月~2024年3月のシステム障害のうち、代表的な事例の事象と原因、対策がまとめられています。

サイバー攻撃に係る内容では2つ触れられており、ランサムウェアとDDoS攻撃が課題として挙げられています。ランサムウェアに関してはVPN機器経由でのマルウェア感染が確認されていることから、VPN機器の脆弱性に係る最新情報の把握やパッチ適用の徹底、不正な通信を検知するためのシステム・体制の整備等のマルウェア対策の整備、重要な外部委託先のサイバーセキュリティ管理態勢のリスク評価実施や強化をすることが課題として挙げられています。

もう一つのDDoS攻撃については外部委託先を含む金融機関へのDDoS攻撃により、長時間にわたって一部の決済ができなくなる事案が発生していること等から、DDoS攻撃の軽減対策の強化や、DDoS攻撃の早期検知・復旧のための態勢を整備することが課題として挙げられています。

同レポートでは、サイバーインシデントやシステム障害関連の障害傾向から、経営陣がサイバーセキュリティを含むITレジリエンスの強化(重要な外部委託先を含む。)を主導し、経営上の計画における施策を策定して実施することが大切だとしています。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

CISA 悪用された既知の脆弱性カタログ登録状況

 - Roundcube Webmail のクロスサイト スクリプティング (XSS) の脆弱性

 - Linux カーネルの解放後使用の脆弱性

 - GeoSolutionsGroup JAI-EXT コード インジェクション脆弱性

JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - Operation Blotless攻撃キャンペーンに関する注意喚起

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事