レポート 4282

関連インシデント

インシデント 83920 Report
Purportedly AI-Driven Phishing Scam Uses Spoofed Google Call to Attempt Gmail Breach of Security Expert

Loading...
「超リアル」な AI 生成の詐欺電話により、マイクロソフトのコンサルタントと 25 億人の Gmail へのアクセスが危うく失われそうになった。「努力に対しては A 評価をあげたい」
windowscentral.com · 2024
  • Microsoft ソリューション コンサルタントの Sam Mitrovic 氏は最近、ハッカーによる 超リアルな AI 詐欺 によって Gmail アカウントへのアクセスをほぼ奪われそうになった経緯をブログで公開しました。
  • ハッカーは Google のサポート チームの一員であると主張し (電話番号とメール アドレスは目立たないように偽装)、コンサルタントをそそのかして Gmail アカウントに関する複雑で機密性の高い詳細を共有させようとしました。
  • 電話番号は Google のビジネス ページに掲載されていましたが、コンサルタントは連絡に使用されたメール アドレスが Google 以外のドメインであることに気付きました。

過去数年間で、生成型 AI が登場し、医療、コンピューティング、教育などの分野で幅広く採用されたことで、有効性と効率性が促進されました。しかし、ハッカーも AI に乗っかって この技術の高度な機能を利用して、油断しているユーザーを巧妙に練られた攻撃に誘い込んでいる ようです。

Microsoft ソリューション コンサルタントの Sam Mitrovic によるブログ投稿 によると、ハッカーは Gmail ユーザーを騙すために、コンサルタントが「超リアルな AI 詐欺電話」と呼ぶ高度な攻撃を利用しています。おそらくもっと興味深いのは、コンサルタントが、この策略は「超リアル」であり、最も経験豊富なユーザーでさえも油断してこの策略の犠牲になる可能性があると主張していることです。 Google の Gmail サービスを利用している 25 億人以上のユーザーが危険な立場に置かれる可能性があり、悪意のある人物が機密情報にアクセスして、危害を加えたりダーク ウェブで販売したりできる可能性があります。

ミトロビッチ氏がこの巧妙な策略に気付いたのは、Gmail アカウントの回復を試みるよう求める通知がデバイスに表示されたときでした。ハッカーは、この古いトリックを使って何も知らないユーザーを罠に誘い込むことで有名です。幸いにも、ミトロビッチ氏はその要求を拒否し、自分の仕事に戻りました。その後、彼は Google シドニーからの電話に出られなかったという通知を受け取りました。

興味深いことに、1 週間後に同じ経験を再びしました。しかし、ミトロビッチ氏は Google シドニーからの電話だと称する電話に出ました。電話を受けると、コンサルタントは Google のサポート チームと話していることを通知されました。さらに、チームは彼のアカウントで疑わしいアクティビティを報告し、偶然にも 1 週間前までさかのぼったと述べました。担当者は、ハッカーがミトロヴィッチ氏のアカウントにアクセスし、データをダウンロードしたと主張した。 

この時点で、マイクロソフト コンサルタントの疑念は最高潮に達し、Google で発信者の ID を照合するに至った。電話番号が Google のビジネス ページからのものであることは確認できたが、ミトロヴィッチ氏は依然として疑念を抱き続けていた。ご存知のとおり、攻撃者は巧妙な策略を使って正体を隠している。

ミトロヴィッチ氏は担当者に、身元を特定するためにメールを送信するよう依頼した。このメールはマイクロソフト コンサルタントをほぼ騙したが、「宛先」フィールドのアドレスの 1 つが Google 以外のドメインに巧妙に偽装されていたため、コンサルタントは騙されてしまった。 

Windows と Xbox の熱狂的ファン向けの最新ニュース、レビュー、ガイド。

ブログ投稿の最後に、ミトロヴィッチ氏は、詐欺であることが最も明らかになったのは電話を受けたときだったと述べている。

「発信者はこんにちはと言ったが、私は無視し、10秒ほど経ってからまたこんにちはと言った。この時点で、発音と間隔が完璧すぎたため、AI音声としてリリースした。」

ミトロヴィッチ氏によると、

「詐欺はますます巧妙になり、説得力も増し、さらに大規模に展開されている。人々は忙しいし、この詐欺は十分に合法的に聞こえ、見えたので、私は彼らの努力にA評価を与えるだろう。多くの人が騙される可能性が高い。詐欺師と戦うためのツールはたくさんあるが、個人レベルでは、依然として警戒し、上記の基本的なチェックを行うか、信頼できる人に助けを求めることが最善の手段だ。」

ミトロヴィッチ氏は、ログイン認証情報を要求し、Gmailアカウントを侵害する可能性のある悪意のある人物と話していることを発見した後、すぐに電話を切ったと述べている。

ハッカーが AI を採用する中、Microsoft はセキュリティを倍増させている

Microsoft 本社 (画像提供: Windows Central)

Google は最近、高度な攻撃に対抗するため、Global Anti-Scam Alliance (GASA) および DNS Research Federation (DNS RF) との提携を発表しました。新しい Global Signal Exchange プログラムを通じて、ユーザーは攻撃者が利用している高度なオンライン詐欺や詐欺手法に関するリアルタイムの情報を入手し、危険から身を守ることができます。

Microsoft も セキュリティの失敗が相次ぐ に見舞われています。しかし、同社の 24 会計年度第 3 四半期の収益報告 の中で、CEO の Satya Nadella は、「当社はこの非常に重要な取り組みに注力しており、他のすべての機能や投資よりもセキュリティを最優先にしています」と述べています。

同社の技術スタック全体のセキュリティ強化に向けた取り組みの一環として、報酬パッケージの一部を設定されたセキュリティしきい値の達成に結び付けることで、Microsoft のトップ幹部にサイバーセキュリティの責任を負わせる ことが含まれています。また、セキュリティ上の問題が提起された場合の対応時間を短縮し、修復を促すことも約束しています。

情報源を読む