生成AIによるGmailアカウント乗っ取り攻撃
AIディープフェイクは、Gmailアカウント乗っ取り攻撃の一部、それも主要な部分として、ますます利用されるようになっている。セキュリティコンサルタントである私に対するこのような攻撃の事例をまとめた記事は、これまでに200万人以上が閲覧し、大きな反響を呼んでいる。この非常にリアルなAI詐欺電話は、ユーザーに自分のGmailアカウントが攻撃を受けており、誰かがアカウントの認証情報を変更しようとしていると信じ込ませようとするものだ。セキュリティコンサルタントでさえ引っかかりそうになるのだから、誰でも被害に遭う可能性がある。advertisement
この事例では、グーグルアカウントの復旧承認を要求する通知が届き、その後、不在着信があった。7日後、再び同様の通知と電話があったが、今度は電話に出た。本物のグーグルの番号とサポート担当者からと思わせるような、説得力のある会話が続いた。しかし、それはすべて生成AIによって生成されたものだった。
グーグルサポートを名乗る人物から連絡があっても、冷静さを保つことが重要だ。グーグルがユーザーに電話をかけてくることはないので、電話を切っても問題ない。Gmailのアクティビティを確認し、自分のデバイス以外にアカウントを使用しているデバイスがないか確認しよう。
Gmail 2FAバイパス攻撃
ブラウザからCookie、特にセッションCookieを盗むことで、ハッカーは2FA(2要素認証)保護を効果的にバイパスすることができる。2FAステップが完了した後にユーザーセッションを保証するCookieを所有することで、攻撃者はそのセッションを完全に制御できるようになる。つまり、Gmailの復旧オプション、2FAなど、すべてを変更できるようになるのだ。グーグルの広報担当者は、「グーグルの調査によると、パスキーはSMS、アプリベースのワンタイムパスワード、その他の従来の2要素認証よりも、自動ボット、バルクフィッシング攻撃、標的型攻撃に対する保護が強化されています」と述べている。よって、この理由からも、Gmailアカウントにアクセスするには、グーグルのパスキーに切り替えることをお勧めする。
advertisement
(forbes.com 原文)
