FBIは、現在進行中の悪質なテキストメッセージおよび音声メッセージキャンペーンについて、一般の方々に警告と対策のヒントを提供するために、この発表を行いました。2025年4月以降、悪質な攻撃者は米国高官を装い、個人を標的としています。その多くは、現職または元職の米国連邦政府または州政府高官とその関係者です。米国高官を装ったメッセージを受信した場合は、本物であるとは思わないでください。
キャンペーンの詳細
悪質な攻撃者は、米国高官を装ったテキストメッセージとAI生成音声メッセージ(それぞれスミッシングとヴィッシングと呼ばれる手法)を送信し、個人アカウントへのアクセス前に信頼関係を構築しようとしています。攻撃者がこのようなアクセスを得る方法の一つは、別のメッセージングプラットフォームへの移行を装い、標的の個人に悪質なリンクを送信することです。米国高官が運営する個人アカウントまたは公式アカウントへのアクセスは、入手した信頼できる連絡先情報を使用して、他の政府高官やその関係者、関係者を標的とするために使用される可能性があります。ソーシャルエンジニアリングの手法で取得した連絡先情報は、連絡先になりすまして情報や金銭を詐取するために使用される可能性もあります。
「スミッシング」とは、ショートメッセージサービス(SMS)またはマルチメディアメッセージサービス(MMS)のテキストメッセージを使用して個人を悪意を持って標的とする行為です。「ヴィッシング」は、AI生成音声を組み込むこともあり、ボイスメモを使用して個人を悪意を持って標的とする行為です。スミッシングとヴィッシングはどちらも、電子メールを使用して特定の個人またはグループを標的とするスピアフィッシングに類似した手法を用いています。
スミッシング、ヴィッシング、スピアフィッシングは一般的な犯罪手法です
従来、悪意のある攻撃者は、スミッシング、ヴィッシング、スピアフィッシングを利用して二次的なメッセージングプラットフォームに移行し、マルウェアを仕掛けたり、攻撃者が管理するサイトへ誘導するハイパーリンクを挿入したりすることで、ユーザー名やパスワードなどのログイン情報を盗み出してきました。スミッシングの場合、悪意のある攻撃者は通常、特定の携帯電話や加入者に関連しない電話番号を生成するソフトウェアを使用し、同僚や�家族になりすまして標的に接触します。一方、ビッシングの場合、悪意のある攻撃者はAI生成音声を悪用し、著名人や公人、または個人的な関係者になりすまし、計画の信憑性を高めることがよくあります。
推奨事項
以下のガイダンスは、疑わしいメッセージを見分け、このキャンペーンから身を守るために役立ちます。
偽メッセージの見分け方
- 電話をかけてきた人、またはテキストメッセージや音声メッセージを送信してきた人の身元を確認してください。対応する前に、発信元の番号、組織、または連絡してきたと主張する人物について調査してください。その後、その人物の電話番号を独自に特定し、電話をかけて本物であることを確認してください。
- メールアドレス、電話番号を含むメッセージの連絡先情報、URL、そしてあらゆる通信文ややり取りで使用されているスペルを注意深く確認してください。詐欺師は、わずかな違いを利用してあなたを欺き、信頼を得ようとすることがよくあります。例えば、公開されている写真をテキストメッセージに挿入したり、名前や連絡先情報をわずかに変更したり、AI生成の音声を使用して既知の連絡先になりすましたりする可能性があります。
- 画像や動画に、手や足の歪み、非現実的な顔の特徴、不明瞭または不規則な顔、眼鏡や宝石などの非現実的なアクセサリー、不正確な影、透かし、音声通話の遅延、音声マッチング、不自然な動きなど、微妙な欠陥がないか確認してください。
- 既知の連絡先からの正当な電話や音声メッセージと、AI生成の音声クローンを区別するために、口調や言葉遣いを注意深く聞いて��ください。これらはほとんど同じに聞こえる場合があります。
- AI生成コンテンツは高度化しており、識別が困難な場合が多くあります。あなたと通信しようとしている人物の真正性に疑問がある場合は、関係するセキュリティ担当者またはFBIに連絡して支援を求めてください。
潜在的な詐欺や機密情報の漏洩から身を守る方法
- オンラインまたは電話でしか知り合ったことのない人とは、機密情報や知り合いの連絡先を決して共有しないでください。親しい人から新しいプラットフォームや電話番号で連絡があった場合は、以前に確認済みのプラットフォームや信頼できる情報源を通じて新しい連絡先情報を確認してください。
- 知らない人や、オンラインまたは電話でしか知り合ったことのない人に、現金、ギフトカード、暗号通貨、その他の資産を送金しないでください。知人(または知人の関係者)から現金や暗号通貨の送金を依頼された場合は、行動を起こす前に、連絡先情報を必ず確認してください。また、依頼の文脈と妥当性を慎重に評価してください。
- 送信者の身元を自分で確認するまで、メールやテキストメッセージ内のリンクをクリックしないでください。
- ダウンロードするものには注意してください。確認していない人からの依頼や、確認していない人からの依頼では、メールの添付ファイルを開いたり、メッセージ内のリンクをクリックしたり、アプリケーションをダウンロードしたりしないでください。
- 2要素認証(または多要素認証)が可能なアカウントはすべて設定し、絶対に無効にしないでください。攻撃者はソーシャルエンジニ��アリングの手法を用いて2要素認証コードを開示させ、アカウントを乗っ取る可能性があります。メール、SMS/MMSテキストメッセージ、暗号化されたメッセージングアプリケーションなどを通じて、2要素認証コードを他人に教えないでください。
- 家族と秘密の単語やフレーズを作成し、本人確認を行いましょう。
被害者の報告と追加情報
- 詳細については、FBIのなりすましとフィッシングに関するガイダンス、および以前の公共広告「犯罪者が生成型人工知能(GAI)を用いて金融詐欺を助長する」をご覧ください。サイバーセキュリティ・インフラセキュリティ庁(CISA)は、以下のリソースを公開しています。「フィッシング対策ガイダンス:フェーズ1で攻撃サイクルを阻止 | CISA」および「従業員にフィッシング被害を未然に防ぐよう指導 | CISA」
上記のキャンペーンの被害に遭ったと思われる場合は、担当のセキュリティ担当者とFBIにご連絡ください。FBIは、被害者の皆様に、お近くのFBIフィールドオフィスまたはインターネット犯罪苦情センター(IC3)www.ic3.govに事件を報告するよう要請しています。できるだけ詳細な情報をご記入ください。