Specops vishing

国家の危機を解決するために電信送金を緊急に要請する高官からの電話を受けることを想像してみてほしい。最近、イタリアの裕福な企業家数人がこのケースに遭い、窮地に立たされた。

しかし、実際はイタリアのグイド・クロセット国防相になりすました詐欺師が、個人を騙して大金を振り込ませようとしていたのだ。

これはヴィッシングの一例であり、サイバーセキュリティの脅威はますます増大している。

ヴィッシング(ボイス・フィッシング)とは、ソーシャル・エンジニアリングの一種で、詐欺師が電話を使って被害者を欺き、機密情報を漏らしたり、不正な支払いをさせたりすることだ。

従来のビッシングは人間のなりすましに頼っていたが、現在ではAIによって、攻撃者は非常に説得力のある合成音声を生成することができるようになり、実在する個人の声をクローン化することさえできるようになった。

どのようにして声がクローン化されるのか?

AIは、テキスト音声合成(TTS)とディープラーニングの技術を用いて、リアルな人間の声を作り出すことができる。Google DeepMindのWaveNetやAIを搭載したボコーダーのような高度なモデルは、人間の音声パターンを驚くほどの精度で再現することができる。

マイクロソフトは、音声はわずか3秒でクローン化できると主張している。つまり、詐欺師は誰かに電話をかけてごく短い会話をし、その録音だけを使ってリアルなAI音声を作り出すことができるということだ。

詐欺師は通常、銀行、政府機関、企業幹部になりすまし、被害者の信頼を利用する。緊急性、権威、感情的な操作を駆使し、ターゲットにコンプライアンスを迫る。

AIによって強化されたヴィッシングは、クローン音声がリアルに聞こえるため、より信憑性が高く、発見が困難です。

フィッシング(電子メール)やスミッシング(SMS)のような他のソーシャル・エンジニアリングのテクニックと組み合わせて使用された場合、これらの攻撃はサイバーに精通した専門家でも発見するのが難しくなります。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Specops パスワードポリシーで Active Directory パスワードを保護

Verizonのデータ漏洩調査レポートによると、漏洩の44.7%に盗まれた認証情報が関与しています。

準拠したパスワードポリシーでActive Directoryを簡単に保護し、40億件以上の漏洩パスワードをブロックしてセキュリティを強化し、サポートの手間を削減します!

無料でお試しください

AIビッシング攻撃の構造

典型的なAIビッシング攻撃は、以下のプロセスをたどる傾向がある:

  1. 偵察:攻撃者はターゲットの個人情報を収集する。
  2. なりすまし電話:AIが生成した音声と偽の発信者IDを使い、攻撃者は信頼できるエンティティになりすます。
  3. 緊急性と操作:セキュリティ侵害、支払期限切れ、危機などを装い、緊急感を煽る。
  4. 情報を引き出す:被害者は、認証情報の開示、送金、悪意のあるソフトウェアのインストールなどを迫られます。
  5. フォローアップ攻撃:攻撃者は、フィッシング・メールやスミッシング・メッセージによって欺瞞を強化することがあります。

また、一部のサイバー犯罪者は「Vishing-as-a-Service」(VaaS)を提供し、スキルの低い詐欺師に自分の才能を売りつけている。こうしたサービスには、AIの音声クローンやロボコールの自動化などが含まれ、洗練された詐欺をより幅広い攻撃者が利用できるようにしている。

参入障壁が低くなるにつれて、今後数年間、ますます多くのヴィッシング攻撃が見られるようになるだろう。

ビッシングに狙われていると思ったら?

AIビッシングは、深刻かつ進化するサイバー脅威である。AIによって信頼できる声へのなりすましが容易になっているため、企業や個人は警戒を怠らない必要がある。

認証手段を導入し、従業員を教育し、セキュリティのベストプラクティスを採用することで、組織はビッシング攻撃にさらされる機会を減らすことができます。

特に金銭や機密情報が危険にさらされている場合、声そのものを額面通りに信用してはならない。

ビッシング攻撃の兆候

  • 予期しないロボコールの後に個人的な電話がかかってくる。
  • 支払いや機密データの緊急要求
  • 音質の悪さや不自然な声のパターン
  • 見慣れない番号や変な時間帯からの電話。
  • 標準的なセキュリティ手順を回避する要求

個人向けのベストプラクティス

  • 発信者を確認できない限り、決して電話で機密情報を共有しない。
  • 知らない番号はボイスメールに残し、応答する前にメッセージを確認する。
  • セカンダリ通信チャネルを使用して通常とは異なるリクエストを確認するか、多要素認証(MFA)を使用して、機密性の高いリクエストを行う発信者を確認する。
  • Do Not Call」登録に電話番号を登録し、通話フィルタリング機能を有効にする。

企業のセキュリティ対策

  • サービスデスクに強力な認証プロトコルを導入し、発信者を確認する。
  • 機密性の高い取引には多段階認証を義務付ける。
  • ビッシングの危険信号を認識するよう従業員を訓練する。
  • AIベースのコールモニタリングにより詐欺行為を検知する。
  • 一般に公開される従業員情報を制限し、標的リスクを低減する。

MGMリゾーツのハッキング

MGMリゾーツのハッキングは、セキュリティを迂回して重要なシステムに不正にアクセスするためにビッシングがどのように使われるかを示す典型的な例であった。ALPHV/BlackCatランサムウェアグループの一員と思われる攻撃者は、まずLinkedInでMGMの従業員を調査しました。

Une image contenant bâtiment, Néon, plein air, casinoLe contenu généré par l’IA peut être incorrect.その後、従業員になりすましてMGMのサービスデスクに電話をかけ、スタッフを装ってアカウントへのアクセスを要求した。

攻撃者は説得力があり、MGMの認証プロセスの隙を突いたため、セキュリティ・チェックを迂回してシステムに侵入することができた。

この最初のアクセスは大規模なデータ侵害につながり、MGMリゾーツは数百万ドルの収益を失い、予約、電子決済、カジノのスロットマシンの問題など、広範囲にシステム障害を引き起こした。

ヴィッシングからサービスデスクを守る

サービスデスクの担当者は、機密情報やユーザー認証リクエストを扱うことが多いため、ビッシング攻撃の格好の標的となります。適切な検証プロトコルがなければ、攻撃者は従業員、役員、ベンダーになりすましてシステムやデータに不正アクセスすることができます。

ヴィッシングの脅威から身を守るために、組織はサービスデスクに強力な認証プロセスを導入する必要があります。多要素認証(MFA)と発信者認証の技術は、不正アクセスを防止し、ソーシャル・エンジニアリング攻撃のリスクを低減するのに役立ちます。

エージェントに、リクエストを処理する前にビッシングの試みを認識し、発信者の身元を確認するためのトレーニングを確実に実施することは、AIを活用したビッシングの脅威に直面する上で極めて重要です。

Une image contenant capture d’écran, dessin humoristiqueLe contenu généré par l’IA peut être incorrect.

Specops Secure Service Deskでは、パスワードのリセットやアカウントのロック解除を許可する前に、強力なユーザー認証を実施できます。これにより、なりすましのリスクを低減し、コストのかかる侵害から組織を保護します。

ビッシング攻撃に対するセキュリティ強化をお考えですか?今すぐSpecops Secure Service Deskをお試しください。

Specops Softwareがスポンサーとなり、執筆しました。