今朝のテクノロジー関連のニュースでは、Google ユーザーを狙った新たな AI 詐欺が話題になっています。Forbes が記事を公開 では、詐欺師との 2 件の体験について詳しく説明しています。どちらも AI によって生成された電話と複数段階の計画が関係していると思われます。ただし、これらの詐欺は必ずしも「新しい」ものではなく、犯人が Google の人間であると主張するかどうかにかかわらず、警戒する必要があります。
これらの Google アカウント詐欺に注意してください
Forbes のレポートでは、この種の詐欺の具体的だが類似した 2 つの例が取り上げられています。被害者の 1 人である Microsoft の Sam Mitrovic 氏は�、アカウント回復リクエストに関する警告を受け取りました。アカウント回復リクエストは、正当なものである場合、通常は誰かがパスワードを忘れたときに発生します。一方的なアカウント回復リクエストは悪意のある性質のものであることが多いため、Mitrovic 氏は警告を無視しましたが、わずか 40 分後に「Google サポート」から電話がかかってきました。Mitrovic 氏はこの電話も無視しましたが、その後すぐに別の警告が届き、さらに 40 分後に「Google サポート」から電話がかかってきました。
今度は、Mitrovic 氏が電話に出ると、アメリカ訛りの「担当者」が Mitrovic 氏に最近旅行したか、特にドイツに旅行したかと尋ねました。答えは「いいえ」でした。担当者は Mitrovic 氏に、過去 7 日間ドイツから誰かが Mitrovic 氏のアカウントにアクセスしており、すでにアカウントからデータをダウンロードしていると警告しました。ミトロヴィッチ氏は、「Google サポート」が電話をかけてきた電話番号を Google で検索し、それが この公式 Google サポート ページ につながることを発見しました。一見すると、これが実際に Google サポートであることが確認できると思うかもしれませんが、ページをよく読んでみると、この電話番号は Google アシスタントが企業に電話をかける番号であり、Google サポートではないことがわかります。これは結局、詐欺でした。
フォーブスが取り上げたもう 1 つの例は、Y Combinator の創設者であるギャリー タン氏に関するもので、彼も同様の詐欺の標的になったと報告しています。タン氏も「Google サポート」から電話を受け、タン氏の死亡証明書を持っており、家族がそれを使ってタン氏のアカウントにアクセスしようとしていると主張しました。Google サポートは、タン氏が実際に生きていることを確認するため、およびタン氏が自分のアカウントがアクティブであることを「確認」するために使用できるアカウント復旧リクエストを共有するために電話をかけていました。最後の部分が本当の詐欺です。Tan 氏は、アカウント回復リクエストは間違いなく不正なものだと強調しています。リクエストの送信元である「デバイス」は実際のデバイスではなく、Google サポートからのものだったからです。誰かがそのフィールドを偽装しており、Tan 氏がアラートで「はい、私です」を押していたら、攻撃者は Tan 氏の Google アカウントのパスワードをリセットできたでしょう。
確認はできませんが、各例で使用された電話通話は AI によるものだったようです。Mitrovic 氏と Tan 氏はどちらも音声が説得力があったことを認めていますが、Mitrovic 氏の場合、「発信者」は「こんにちは」と言い、応答がなかった後、同じ方法でもう一度「こんにちは」と言いました。これと完璧な発音と間隔が相まって、Mitrovic 氏は音声が実際に AI であると確信しました。これは 生成型 AI 音声の明らかな兆候 です。
実際には、この詐欺は目新しいものではありません
ニュースではこの新しいタイプの AI を利用した詐欺が話題になっていますが、ここでの根底にある戦術はかなり古典的なものです。攻撃者が AI を使用しているかどうかに関係なく、注意すべき点を知っておくことで、自分自身を守る�ことができます。
まず、Google のような大手テクノロジー企業は、アカウントのセキュリティ侵害の可能性について警告するために、突然電話をかけてくることはありません。実際、Google や同様の企業は、一般的に人間によるサポートが不足していることで有名です。支援が必要だとわかっているのに実際の人と連絡が取れない場合、Google の担当者が最初に あなた に連絡を取る可能性はまったくありません。したがって、電話の向こう側で聞こえるのが説得力のある AI 音声であろうと、生身の Google 担当者を装ったかなり下手な人間の役者であろうと、このような会社から電話がかかってきた場合は、状況を無視するのに十分な危険信号であるはずです。
その一方で、アカウント回復リクエストがあります。これは典型的な詐欺手法です。ユーザー側でアカウント回復アラートをトリガーし、それを受け入れることは身元確認を意味すると納得させます。これはこのシステムが設計された目的ではなく、ハッカーがあなたを騙そうとしているものです。アカウント回復リクエストは、誰かが実際にあなたのアカウントをハッキングした場合など、アカウントにアクセスできない場合に、_あなた_によってトリガーされることになっています。Google にそのことを伝えると、Google は添付のメール アドレスにアカウント回復リクエストを送信します。そのメールを開いて [はい、私です] をクリックすると、アカウント回復プロセスを続行できます。プロセスには他の誰も関与しておらず、リクエストは他の目的には使用されません。
しかし、ハッカーは Google サポートのふりをして、このアカウント復旧リクエストはあなたの身元を確認するための手段に過ぎない、またはあなたのアカウントがアクティブであることを証明するための手段だと主張します。しかし、「はい、私です」ボタンをクリックすると、_ハッカー_側でアカウント復旧プロセスが開始されます。ハッカーはあなたのアカウントに侵入し、あなたをロックアウトして情報を盗む権限を持つことになります。
結論: あなたが自分でアカウント復旧アラートを開始しなかった場合、それは正当なものではありません。クリックしないでください。
ハッキングされるのではないかと心配な場合
このような電話やメッセージを受け取った場合、それはフィッシングの被害者を探している悪意のある人物である可能性があります。あなたの情報がなければ、彼らは別の被害者へと移るだけです。ただし、アカウントが確実に保護されるように、いくつかの手順を実行することは悪い考えではありません。
Google に焦点を当てると、Google アカウントのセキュリティ設定ページ にアクセスして、アカウントのセキュリティ状態を示すダッシュボードを確認できます。ここでは、すべてのアクティブなセッション、Google が管理するセキュリティ アラートがあるかどうか、2 要素認証、パスワード、パスキー、再設定用メール、電話番号などの設定を確認できます。
アカウントの現在のセキュリティ レベルが心配な場合は、アクティブなセッションを確認してください。これは、現在ログインしている場所です。デバイスや場所がわから��ない場合は、それをクリックして、そのデバイスをアカウントからログアウトできます。VPN または Apple の iCloud プライベート リレー を使用している場合は、信頼できるデバイスに不明な場所からのセッションが表示されることがあります。これらのサービスは、実際のインターネット トラフィックの送信元を不明瞭にするためです。
さらに、パスワードを定期的に変更し、2 要素認証 (2FA) を使用することをお勧めします。そうすれば、攻撃者がパスワードを解読した場合でも、信頼できるデバイス (攻撃者がおそらく持っていないデバイス) を必要とする二次認証ステップが確保されます。パスキーも設定する を検討してください。これは、パスワードと 2FA の長所を組み合わせたものです。
結局のところ、これらの詐欺を仕掛ける攻撃者は、実際に自分のアカウントに侵入することはできません。だからこそ、攻撃者はあなたを狙っているのです。攻撃者は、悪意のあるリンクをクリックするか、攻撃者に代わって認証してもらう必要があります。パスワードが強力で、バックアップとして他の形式の認証がある限り、これらのタイプの詐欺の被害者にならないための最善の方法は、単に無視することです。