2025年2月1日更新: 1月30日に最初に公開されたこの記事は、ディープフェイクAIを利用した脅威を見抜くためのさらなる緩和アドバイス、高度なGmail攻撃に関するGoogleの声明、コンテンツ制御セキュリティの専門家のコメントで更新されました。
ハッカーはありふれた場所に隠れている、新しい攻撃、さらには[永続的な2FAバイパス] Google ユーザーに対する脅威](https://www.forbes.com/sites/daveywinder/2025/01/17/google-perpetual-hack-attack-steals-passwords-and-2fa-act-now/) が報告�されています。犯罪者ハッカーにとって、なんとも時代遅れの時代ですが、この最新の恐ろしいハッカーを生きていると呼ぶのは無理があります。警告しておきますが、この悪意のある AI はあなたの Gmail 認証情報を欲しがっています。
被害者、最新の Gmail 脅威を「今まで見た中で最も洗練されたフィッシング攻撃」と呼ぶ
Google の発信者番号が付いた番号から、アメリカのサポート技術者から、誰かがあなたの Google アカウントを侵害し、一時的にブロックされたと警告する電話がかかってくることを想像してみてください。その後、そのサポート担当者が、あなたのリクエストに応じて、本物の Google ドメインからこれを確認するメールをあなたの Gmail アカウントに送信することを想像してみてください。電話番号を照会し、本物であることを確認するために折り返し電話をかけてもいいか尋ねることを想像してみてください。彼らは、google.com に掲載されていることを説明し、保留中は待つ必要があるかもしれないと伝えた後、同意しました。確認したところ、掲載されていたので、その電話をかけませんでした。Google からコードが送られてきて、アカウントをリセットして制御を取り戻し、それをクリックしそうになったことを想像してみてください。幸いなことに、この段階で、Hack Club の創設者であり、危うく被害に遭いそうになった人物である Zach Latta は、それが AI による攻撃であることに気付いていましたが、確かに非常に巧妙なものでした。
もしこの話に聞き覚えがあるとしたら、それはその通りだからです。私は10月11日に話題になった記事で、Gmailユーザーに対するこのようなAIを利用した攻撃について初めて警告しました。手法はほぼ同じですが、Gmailの25億人すべてのユーザーに対する警告は同じです。脅威に注意し、1分たりとも油断しないでください。
「サイバー犯罪者は脆弱性を悪用し、セキュリティ制御を回避するための新しい戦術、テクニック、手順を絶えず開発しており、企業はこれらの脅威に迅速に適応して対応できなければなりません」と、SonicWall の副社長である Spencer Starkey 氏は述べました。「これには、定期的なセキュリティ評価、脅威インテリジェンス、脆弱性管理、インシデント対応計画を含む、サイバーセキュリティに対する積極的かつ柔軟なアプローチが必要です。」
Gmail アカウント認証情報に対する AI 攻撃の緩和
これらの非常に高度な AI 攻撃について話す場合、通常のフィッシング緩和のアドバイスはすべて、少なくともその多くは無視されます。「彼女は本物のエンジニアのように聞こえ、接続は非常に明確で、アメリカ訛りでした」と Latta 氏は述べました。これは、10 月に私が書いた記事で、攻撃者が「非常に現実的」であると説明されていたことと似ていますが、当時は、標的を攻撃に備えさせるために 7 日前に侵害の通知が送信されるという攻撃前の段階がありました。
当初のターゲットはセキュリティ コンサルタントだったため、AI 攻撃の餌食にならずに済んだ可能性が高い。また、最新の被害者はハッキング クラブの創設者だ。2 人とも危うく攻撃に屈しそうになったが、あなたはこの 2 人ほどの技術的経験はないかもしれない。では、どうすれば安全を保てるだろうか?
「新しい攻撃は作成されるスピードが速いため、適応性が高く、検出が難しく、サイバー セキュリティの専門家にとってさらなる課題となっている」と Starkey 氏は言う。「ハイレベルのビジネスの観点から、彼らはセキュリティ ツールを使用してログインがどこでどのデバイスで行われているかを検出し、ネットワークを常に監視して疑わしいアクティビティがないか確認する必要がある」
その他すべての人々、特に消費者は、Google サポートを名乗る人物からアプローチされた場合は落ち着いて電話を切ってください。相手は電話をかけてきません。
疑わしい場合は、Google 検索や Gmail アカウントなどのリソースを使用して、その電話番号を確認し、自分のアカウントが知らない人物にアクセスされていないか確認してください。ウェブ クライアントを使用して画面の一番下までスクロールすると、右下にアカウントの最近のアクティビティをすべて表示するリンクがあります。最後に、Gmail フィッシング詐欺ハッキング攻撃 を使用する攻撃者から身を守ることについて Google が述べていることに特に注意してください。
高度な保護プログラムと Google Passkeys は、Gmail アカウントのセキュリティ維持に役立ちます
私は、この記事で取り上げているような高度に洗練された AI を利用した脅威を含む標的型攻撃から Gmail アカウントを保護するために Google が提供する 1 つの機能に関して、ある意味熱心に宣伝しています。この機能は、Google とメディアが何年もの間、つまりそう、何年もの間、宣伝に尽力してきたにもかかわらず、本来あるべきほどよく知られていません。ここで言及しているのは、高度な保護プログラム のことで、これはジャーナリスト、活動家、政治家など、リスクの高いアカウント所有者向けに設計されています。ただし、あなたを含め、誰でも利用できます。
高度な保護プログラムに登録すると、本人確認と Gmail アカウントへのサインインにパスキーまたはハードウェア セキュリティ キーの使用が求められます。「権限のないユーザーは、ユーザー名とパスワードを知っていても、パスキーなしではサインインできません」と Google は述べています。もう一度確認してみましょう。どのデバイスからでも Gmail にサインインするには、最初に使用するときにパスキーが必要です。つまり、ハッカーが何らかのハッキング手法を使用してユーザー名とアカウント パスワードを入手したとしても、パスキーが保存されている物理デバイス (つまりスマートフォン) と、それを検証するために必要な生体認証がなければ、サインインすることはできません。以上です。
新しいアプリやサービスにサインアップすると、多くの場合、Gmail の連絡先など、Google アカウント内の情報へのアクセスを求められる。当然ながら、すでに保護機能が組み込まれているが、高度な保護プログラムでは、第三者のなりすまし者がアカウントやデータにアクセスするのを防ぐために、さらに一歩進んだ対策が講じられている。「高度な保護機能では、Google アプリと検証済みのサードパーティ アプ��リのみが Google アカウント データにアクセスできます。しかも、ユーザーの許可がある場合のみ」と Google は述べている。こうした利点はほとんどのユーザーに悪影響を与えることはなく、リスクの高いユーザーにとっては追加のセキュリティ保護が不便さを上回るはずであるが、それ以外にも、ファイルをダウンロードしたりアプリをインストールしたりする前に、より多くのアラートや警告が表示され、オプションのセキュリティ機能が自動的に有効になることがある、と Google は述べている。
「この詐欺の背後にあるアカウントを停止しました」と Gmail の広報担当者は述べている。「これが大規模な戦術であるという証拠は見つかっていませんが、サインアップ時に g.co 参照を悪用する悪用者に対する防御を強化し、ユーザーをさらに保護しています」