2024 年 10 月 13 日更新: 10 月 11 日に最初に公開されたこの記事には、Google の新しい詐欺対策同盟イニシアチブの詳細、正当なサポート詐欺のように見える新しい警告、および高リスク アカウントを保護するための Google の高度な保護プログラムの詳細が含まれています。
Google は、Gmail アカウントを侵害しようとする人々に対して ますます洗練された保護 を実施してきましたが、AI 駆動型攻撃を使用するハッカーも進化しています。Google 自身の数字によると、現在 Gmail サービスの��ユーザーは 25 億人を超えています。ハッカーや詐欺師の標的になっているのも不思議ではありません。知っておくべきことは次のとおりです。
Microsoft ソリューション コンサルタントの Sam Mitrovic 氏は、最も経験豊富なユーザーでさえ騙すことができる「超リアルな AI 詐欺電話」と表現されるものの犠牲になりそうになった後、警告を発しました。
すべては、Mitrovic 氏が自分を狙った攻撃の巧妙さに気づく 1 週間前に始まりました。「Gmail アカウントの回復を承認するようにという通知を受け取りました」と、Mitrovic 氏は 他の Gmail ユーザーに警告するブログ投稿 で、問題の脅威について語っています。アカウント回復またはパスワード リセットを確認する必要があることは、悪名高いフィッシング攻撃の手法であり、ユーザーを偽のログイン ポータルに誘導し、そこで資格情報を入力させて、リクエストが自分によって開始されたものではないことを報告させることを目的としています。
当然のことながら、ミトロヴィッチ氏はこれに騙されず、米国から発信されたと思われる通知と、約 40 分後にオーストラリアのシドニーにある Google から発信されたとされる不在着信を無視しました。ここまでは比較的単純で回避しやすいものでした。それからほぼ 1 週間後、楽しいことが本格的に始まりました。アカウント復旧の承認を求める別の通知が届き、40 分後に電話がかかってきました。今回はミトロヴィッチ氏は電話を逃さず、代わりに電話に出ました。Google サポートを名乗るアメリカ人の声で、Gmail アカウントに不審な��アクティビティがあることを確認しました。
「彼は私が旅行中かと尋ねました」とミトロヴィッチ氏は言います。「いいえと答えると、彼は私がドイツからログインしたかと尋ね、私はいいえと答えました」。これらすべては、発信者に信頼を、受信者に恐怖を抱かせるためのものです。これが、フィッシング詐欺の全体的な計画において、事態が急速に暗転し、実に巧妙になったときです。いわゆる Google サポート担当者は、ミトロビッチ氏に、過去 7 日間に攻撃者が彼の Gmail アカウントにアクセスし、すでにアカウント データをダウンロードしていたことを伝えました。これは警鐘を鳴らし、ミトロビッチ氏は 1 週間前の復旧通知と不在着信を思い出しました。
ミトロビッチ氏は、話している間にかかってきた電話番号を Google で検索したところ、確かに Google のビジネス ページにつながることがわかりました。これだけでも、その場のパニックに巻き込まれた多くの無防備なユーザーを騙す巧妙な戦術です。なぜなら、それは Google サポート番号ではなく、Google アシスタントからの電話だったからです。「通話の最初に、通話の理由と Google からの電話であることが伝えられます。自動システム、または場合によっては手動のオペレーターからの電話になることが予想されます」と、100% 本物のページ は読者に親切に伝えています。
AI を利用した別の Google サポート詐欺が Gmail ユーザーに警告を発する
ベンチャー キャピタル企業でスタートアップ アクセラレーターの Y Combinator の創設者である Garry Tan 氏は、X (旧 Twitter) で 「かなり手の込んだ」と評される別のフィッシング詐欺に関する警告 を発しました。この詐欺も AI を利用して信憑性を高めています。セキュリティ コンサルタントの Sam Mitrovic 氏を騙しかけた詐欺と同様に、この最新の警告も Google サポート技術者からの連絡に関するものです。X のコメント投稿者の 1 人が、この詐欺は Google がユーザーに対してサポートを提供していないことを示唆していると主張したほどではありませんが、こうした詐欺に関しては、Google サポートがこのように突然連絡してくることはありません。 「このダイアログで [はい] をクリックしないでください。フィッシングに遭います」とタン氏は警告した。
タン氏を狙った詐欺の場合、Google のサポート担当者とされる人物は、同社が死亡証明書を受け取ったため家族がアカウントの復旧を試みていると主張した。つまり、発信者は、AI だけができるほど愚かだが、応答した人物が生きているかどうかを確認していた。「これは、パスワード復旧を許可させるための非常に手の込んだ策略です」とタン氏は警告を続け、表示されたアカウント復旧画面には、アカウントにアクセスするために実際に使用されたデバイスではなく、Google サポート担当者の名前が表示されるデバイス フィールドがあることに気付いた。復旧用のインターフェースを設計した人は、問題のテキスト フィールドで、かなり基本的な正規表現チェック、または AI ベースの詐欺検出を採用すべきだとタン氏は示唆した。「これについてはデバイス名を確認するのは簡単です」と同氏は結論付けた。詐欺の一部には、アカウント復��旧ダイアログをトリガーするための検証プロセスの一環として、タン氏に携帯電話番号を再入力させることが含まれていた。しかし、タン氏はこの点に気づいていた。「私はSIMスワップされたことがあるので、自分の携帯電話をアカウントに登録してはいけないことは知っています」とタン氏は説明した。
Googleフォームを使用して連絡を正当に見せかける
詐欺師は、Google Workspaceの一部である無料のオンラインツールであるGoogleフォームを悪用して、サポート詐欺の一環として送信された正当に見える文書を作成するのにも利用されている。Googleフォームの応答受信オプションを使用してフォームのコピーをターゲットアドレスに送信すると、文書は本物のGoogleサーバー経由で送信され、詐欺に正当性が加わる。メールを確認すると、たとえばworkspacesupport@google.comからのものであることがわかり、受信者が抱いていたかもしれない危険信号が軽減される。そのような詐欺の1つは、そのようなフォームを使用してアカウント回復パスワードリセットフォームを模倣し、ターゲットに指定されたサポートエージェントからSMS通知が届くと伝え、確認するための番号を伝えた。この二重の正当性を持つ方法は、多くの場合、多くの人を騙すのに十分である。この場合、ミスは、受信側の人が十分に賢明であれば、混乱を招くほど複雑で長すぎるパスワード リセット プロセスでした。
これらの Google サポート ハッキング ニアミスから学ぶべき教訓
ミトロビッチ氏は正しい対応、または少なくとも電話を切るのに次ぐ最善の対応を取り、サポート担当者と思われる人物に確認メールを送信するよう依頼しました。そのメールはすぐに届き、Google ドメインから送信され、事実上本物に見えました。この時点で、宛先フィールドに巧妙に偽装されたアドレスが含まれていることに気付きました。このアドレスは実際には Google ドメインではありませんでしたが、これもまた、技術に詳しくない人を簡単に騙すことができました。
しかし、ミトロビッチ氏にとって本当のヒントは、発信者が「こんにちは」と挨拶し、応答がなかった後にもう一度「こんにちは」と言ったときでした。「この時点で、発音と間隔が完璧すぎたので、AI 音声としてリリースしました」とミトロビッチ氏は語りました。
Mitrovic 氏の 元のブログ を読む価値は十分にあります。このレポートでは取り上げるスペースがないほど、より詳細な技術的情報と調査作業が含まれているからです。知識がすべてであり、このコンサルタントが提供する脅威インテリジェンスは、同様の状況に陥る可能性のある人にとって本当に貴重です。事前に備えておけば、事前に警告を受けることができます。
攻撃者は、いわゆる回復プロセスが開始されるところまで攻撃を続けたことはほぼ確実です。実際には、これはユーザーの認証情報を取得するクローンログインポータルであり、2 要素認証が実装されている場合は、何らかのセッション クッキーを盗むマルウェアを使用してそれをバイパスする可能性が高いでしょう。
Google が詐欺師と戦うためにグローバル シグナル エクスチェンジを開始
Google は、詐欺師との戦いで新しいイニシアチブを形成するために、Global Anti-Scam Alliance および DNS Research Federation と協力することを発表しました。 Global Signal Exchange は、詐欺や不正行為に関する情報共有プラットフォームとして機能し、サイバー犯罪のサプライ チェーンに関するリアルタイムの洞察を提供します。Global Signal Exchange の最初の創設メンバーとして、Google は、このプラットフォームが事実上、悪質な行為者やその攻撃に関連する種類の情報シグナルのグローバル クリアリング ハウスになることを期待しています。
Google の信頼と安全性担当シニア ディレクターである Amanda Storey 氏は、このコラボレーションは「各パートナーの強みを生かす」と述べています。GASA には関心のある関係者の広範な既存のネットワークがあり、DNS Research Foundation には 4,000 万を超える既存のシグナルを備えたデータ プラットフォームがあるため、「GSE は不正シグナルの交換を改善し、さまざまなセクター、プラットフォーム、サービスにわたる不正行為をより迅速に特定して阻止することを目指しています」。
Google が確認した最終的な目標は、インターネット自体のほぼ考えられない規模で動作するだけでなく、効率的で、何よりもユーザー フレンドリーな方法でそれを実行するソリューションを作成することです。つまり、資格のある組織は、これを利用して詐欺師に反撃できるということです。Google はすでにこの分野で豊富な経験があり、詐欺対策を支援するためにパートナーシップを結んできた長い歴史があります。実際、新しい Global Signal Exchange のテストの一環として、Google は 10 万を超える悪質な URL を共有し、分析のために何百万もの詐欺シグナルを消費しました。「まずは、詐欺ポリシーに基づいて対処した Google ショッピング URL を共有することから始めます」と、Google のアカウント セキュリティ プロダクト マネージャーである Nafis Zebarjadi 氏は述べています。「パイロットから経験を積むにつれて、他の関連する Google プロダクト領域からのデータもすぐに追加する予定です。」
Global Signal Exchange、または少なくともそれを動かすエンジンは、Google Cloud 上で実行され、すべての参加者がインテリジェンス シグナルを共有して消費できるようにすると同時に、「Google Cloud Platform の AI 機能を利用してパターンを見つけ、シグナルをスマートに一致させる」と Storey 氏は結論付けました。
最も高度な Gmail 詐欺から身を守る
AI ディープフェイクはポルノや政治に使われるだけでなく、今回のケースのように、一見単純なアカウント乗っ取りを実行するためにも使われます。Google サポートを名乗る人物からアプローチされた場合は落ち着いてください。電話はかかってこないので、すぐに大きな危険信号が発せられます。電話を切っても、あなたに害はありません。皮肉なことに、Google 検索自体と Gmail アカウントなど、利用可能なツールを使用して、通話中に、本物である可能性があり、無視すると害を及ぼす可能性があるかどうかを確認してください。電話番号を検索して、実際にどこから来ているのかを確認してください。Gmail アクティビティをチェックして、自分のデバイス以外のデバイスがアカウントを使用しているかどうかを確認してください。Gmail フィッシング詐欺を使�用する攻撃者から身を守る について Google が述べていることに注意してください。最も重要なのは、会話にどれほどの緊急性が込められていたとしても、決して衝動的な反応を起こさないようにすることです。攻撃者は、その緊急性を利用して、通常の適切な判断を妨げ、リンクをクリックしたり、認証情報を渡したりします。
Google の高度な保護プログラムを使用する - パスキーのサポートも追加
また、Google の高度な保護プログラムへの登録も検討することをお勧めします。このプログラムは、リスクの高いアカウント所有者と考えられるジャーナリスト、活動家、政治家などのユーザー向けに設計されています。高度な保護プログラムの欠点の 1 つは、アカウントにサインインするときに使用するハードウェア セキュリティ キーを 1 つではなく 2 つ購入する必要があることでした。今年初め、Google が高度な保護プログラムのユーザーにパスキーのサポートを提供すると発表し、金銭的な負担が軽減されました。
これら 2 つのテクノロジによってもたらされる保護の組み合わせにより、すべての Gmail ユーザーを含む、Google アカウントを持つほとんどの人にとって、考えるまでもなく簡単に利用できます。その理由は次のとおりです。どのデバイスからでも Google にログインするには、初めて使用するときにパスキーが必要です。つまり、ハッカーがユーザー名とアカウントを入手したとしても、パスキーが保存されているデバイス (スマートフォン) とそれを検証するために必要な生体認証がなければ、ログインできません。これを、Google 以外のほとんどのアプリやサービスが Gmail アカウン��ト データにアクセスできないようにする高度な保護機能プログラムへの登録と組み合わせて使用すると、フィッシングされたパスワードやアカウントの回復がはるかに困難になります。「誰かがあなたのアカウントを回復しようとした場合、」と Google の広報担当者は述べています。「高度な保護機能により、追加の手順で本人確認が行われます。」つまり、あなたが本人であることを確認し、Google アカウントに再びアクセスできるようになるまでに数日かかる場合があります。しかし、ハッカーが詐欺を働いてアカウントに侵入することもできないことを意味します。