被害者が語る「これまで見た中で最も巧妙なフィッシング攻撃」
グーグルの発信者IDを表示する番号から、米国人のサポート技術者を名乗る人物が電話をかけてきて、「あなたのGoogleアカウントが何者かに侵害され、一時的にブロックされている」と警告してきたと想像してほしい。さらに、そのサポート担当者が、あなたの要請どおりに正規のグーグルドメインからGmail宛に確認メールを送信してきたとしよう。電話番号について問い合わせが「本当に正しい番号かを確かめたいので、こちらからかけ直してもいいですか」と尋ねると、相手は「その番号はgoogle.comに掲載されており、保留の間は待ち時間があるかもしれません」と説明した上で同意。実際に調べるとその番号が掲載されていたため、あなたはかけ直すことをしなかった。そこへグーグルから「アカウントをリセットして取り戻すためのコード」が届き、危うくクリックしかけたが……。この際どい瞬間に、ハッククラブ(Hack Club)の創設者ザック・ラッタはAIによる攻撃だと気づいたという。非常に巧妙な手口ではあったが、間一髪で回避できたのだ。
もしこの話に既視感があるなら、それは当然だ。筆者は米国時間2024年10月11日に、Gmailユーザーを狙うAI主導の攻撃について初めて警告を発し、その記事は大きな反響を呼んだ。手法はほぼ同じだが、25億人のGmailユーザーに伝えたい警告も変わらない。つまり、脅威が存在する限り、片時も油断してはいけないということだ。
SonicWallのバイスプレジデントであるスペンサー・スターキーは、次のように述べている。「サイバー犯罪者は常に新しい戦術、技術、手法を開発しており、脆弱性を悪用してセキュリティ対策を回避しようとしています。企業はこうした脅威に迅速に適応し、対応できなければなりません。これには、定期的なセキュリティ評価、脅威インテリジェンス、脆弱性管理、インシデント対応計画などを含む、積極的かつ柔軟なサイバーセキュリティのアプローチが必要です」
