このページの本文へ

2023年に気をつけたいセキュリティの脅威とは

2023年01月06日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

AIの進歩はサイバー犯罪者に悪用されるかもしれない

 2023年は、どんな年になるだろうか。2020年頃から続いている新型コロナウイルスの影響や、世界的な原料不足などが叫ばれている一方で、デジタルの世界では、Web3、メタバースなど、新しい概念やテクノロジーが普及し始めている。

 最近、ネット上で流行しているものの一つに、AIがある。ここ数年でビジネス面で普及してきたことはもちろん、最近では文章を入力するだけでAIがイラストを作成したり、質問に答えたりするサービスも出てきている。専門的な知識がなくとも、AIで生成したコンテンツを、数分で作成できるようになっているわけだ。

 これは、悪意を持った人間にも同じことがいえる。犯罪者が、偽の画像や音声を作成することも容易になった。

 2023年に気をつけたいものの1つとして、「ディープフェイク」が挙げられる。人工知能を用いて、既存の画像や映像などを、別の画像・映像に合成する技術のこと。“ディープ”とは、ディープラーニングを意味している。ディープラーニング技術を活用して、既存の画像、音声、動画をソースメディアファイルに重ね合わせることで作成される。

 たとえば、特定の人物がそのことを話していないのに、まるで話しているような映像が作れたとする。直接話す映像が撮影できなくても、いかにもその人の声と仕草で話すような映像になる。AIの技術が普及した現在では、それを利用して、いたずらを目的したものや、政治的な混乱を招こうとするものなど、さまざまな“フェイク”が大量に作られる恐れもある。

 フェイク画像/動画に踊らされないためには、どうしたらよいのか。目を引くコンテンツを見つけても、安易に拡散するのではなく、まずは冷静になる必要がある。この情報を投稿したのは誰か、このコンテンツを共有するべきか、情報の受け手はしっかりと判断しなくてはならない。

 何が事実で、何がフィクションなのかを見分ける、メディアリテラシーが重要になってくるともいえる。使用するコンテンツや、その作成元により一層注意する必要がある。日頃からチェックするメディアが、コンテンツの事実確認を怠らない組織かどうかを気にしておくのもよいだろう。

最新のテクノロジーを喧伝する詐欺に気をつけろ

 AI、仮想通貨、メタバース、Web3……。これらは、ネット上だけでなく、電車の中吊りや、テレビのCMなどでも目にすることが増えてきた概念だ。我々の生活に進歩をもたらす可能性が高いだけに、多くの企業やメディアが注目している。

 しかし、多数の人の注目を集める“新しい”概念は、サイバー犯罪者にとっても魅力的な標的となる。よく知られていない部分もあるだけに、それほど知識を持っていない人間に「そういうものなのか」と思い込ませやすいからだ。

 仮想通貨は、ここ数年でかなり知られてきたものの1つだ。2022年には、既存のコンテンツを利用することで、仮想通貨詐欺をより信じやすいものにする手口が複数見られた。そのような事例の1つに、イーロン・マスク氏の過去の動画を使用して誘導する仮想通貨詐欺が挙げられる。ディープフェイクの動画で、イーロン・マスク氏が偽の仮想通貨取引所への投資を呼びかける内容となっていた。

 このように、さも有名人や大手企業などが勧めているように見せかけた仮想通貨詐欺も出てくるかもしれない。2023年も、仮想通貨の「うまい話」には注意が必要だ。

 また、メタバースのような新しいプラットフォームが出てくれば、プラットフォームに登録するユーザー数が増加するのに伴い、ユーザーを標的としたフィッシング詐欺などが横行することも考えられる。

 仮想通貨の価値が乱高下したり、Web3のさまざまな概念が普及してきたり……。こうした新しいテクノロジーに対する期待をあおるようなリンクやアプリケーションを提供するサイバー犯罪者が出てくるかもしれない。最新のテクノロジーを喧伝する詐欺には気をつけたい。

 そういった脅威に対しては、たとえば投資なら、知識がない状態で始めないこと、リスクを認識しておくことが大事だ。あわせて、基本的なセキュリティをもう一度見直してみることをおすすめする。

 「パスワードは複雑なものに設定し、使い回しは避ける」「メールやSMSが届いても不審なURLはみだりに開かない」「使っているデバイスのセキュリティソフトウェアは最新版か確認する」など、専門的な知識がなくとも、セキュリティの強化のためにできることはたくさんある。

 最新のサイバー犯罪についての情報を知るために、McAfee Blogの「マカフィーの2023年の脅威動向予測: 進化と悪用」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

マカフィーの2023年の脅威動向予測: 進化と悪用:McAfee Blog

2022 年の終わりを迎えるにあたり、マカフィーのThreat Labsチームでは、2023 年はどのような脅威動向になるのか検討を進めています。今年は詐欺行為が絶え間なく進化を遂げ、その勢いが衰える気配はありません。また、オペレーティング システムとしてChromeを導入するユーザーが増加しています。携帯電話やパソコンを所有していれば、誰でも簡単にアクセスできるAIツールの導入は、大きな意義をもたらしています。仮想通貨の価値の変動や「Web3」の出現も同様です。こうしたすべての要素が布石となり、2023年はテクノロジーとのかかわり方が大きく前進を遂げる見込みがあるものの、悪意のある攻撃者がこのテクノロジーを悪用して私たちに影響を及ぼす可能性もあります。マカフィーのチームによる2023年の予測と、安全に保護するためのヒントをいくつかご紹介します。

AI が主流となり、偽情報の拡散が増加する
著者: Steve Grobman、最高技術責任者

人類は、コンピューターを使用するようになって以来、人工知能に魅了されつつも恐怖を抱いてきました。ポップ カルチャーにおける描写は、『2001 年宇宙の旅』に登場する人工知能を備えたコンピューターHALから、『ターミネーター シリーズ』に登場する自己認識ニューラル ネットワークのSkynetにまで及びます。AI技術の現状は、映画に描かれているものよりも複雑性が高く、自律性に欠けています。AIは急速に進化を遂げていますが、悪用されることで最も影響を受けるのは依然として私たちです。

過去数か月間で、複数のアプリケーションが一般に利用できるようになりました。つまり、AIが生成した画像、動画、音声は、一部のユーザーのみを対象とするものではなく、携帯電話やコンピューターを持っている人なら誰でも、Open AIのDall-Eや stability.aiのStable Diffusionなどのアプリケーションを使用すると、このテクノロジーを活用できるようになりました。Googleは、AIで生成した動画の作成をこれまでになく容易にできるようにしました。

この動向は、将来において何を意味しているのでしょうか?これは、次世代のコンテンツ作成が大衆にも利用可能になってきており、進化を遂げていくことを意味します。自宅にいる消費者も、職場にいる従業員も、AIで生成したコンテンツを数分で作成できるようになります。デスクトップ パブリッシング、写真編集、写真のような画像を安価に出力できる家庭用プリンターが大きな進歩を遂げ、以前はプロのグラフィック アーティストを必要としたコンテンツを個人が作成できるようになったように、こうしたテクノロジーは最小限の専門性と労力で優れた出力を可能にします。

デスクトップ パブリッシングや消費者向け印刷における進歩は、犯罪者に対してもメリットをもたらし、画像の偽造精度を高め、操作を現実的なものにしました。同様に、こうした次世代の新しいコンテンツ ツールも、悪意のあるさまざまな攻撃者によって悪用されます。サイバー犯罪者から虚偽の情報で世論に影響を与えようとする者に至るまで、こうしたツールは詐欺師や拡散目的に利用され、その活動に必要なノウハウをさらに次のレベルへと高め、現実的な結果や大幅な効率向上をもたらすことになります。

これは、米国での2024年の大統領選挙に向けた活動が本格化する2023年に特に増加する可能性があります。世界的に、政治環境は二極化しています。利用可能な次世代のジェネレーティブAIツールの出現と、激戦が予想される 2024年の選挙時期が重なると、最悪の事態に陥ります。政治的および金銭的利益を目的に偽情報が作り出され、拡散されます。

私たちは皆、使用するコンテンツやその作成元により一層注意する必要があります。画像、動画、ニュース コンテンツなどすでに増加傾向にあるコンテンツの事実確認は、今後もメディア消費の必要な価値ある部分となるでしょう。

新年に新たな詐欺
著者: Oliver Devane、セキュリティ リサーチャー

仮想通貨詐欺

2022年には、既存のコンテンツを利用することで仮想通貨詐欺をより信じやすいものにするオンライン詐欺が複数見られました。そのような事例の1つに、イーロン・マスク氏の以前の動画を使用して誘導する、金銭を2倍にするという仮想通貨詐欺が挙げられます。こうした詐欺は 2023年に進化を遂げ、ディープフェイクの動画や音声を悪用し、被害者が苦労して稼いだお金をだまし取ることが予想されます。

投資詐欺

2023年の財務見通しによると、多くの人にとって厳しい年になることが予測されています。このような時期には、人は余分な収入を得る方法を模索しがちです。その結果、わずかな投資で莫大な金銭的利益をうたったソーシャル メディアのメッセージやオンライン広告に対して影響を受けやすい可能性があります。

IC3 2021レポートによると、金融詐欺による損失は2020年には336,469,000ドルでしたが、2021年には1,455,943,193ドルに増加しています。この結果は、この種の詐欺が大幅に増加していることを示しており、今後もこの傾向が続くと予想されます。

偽の融資

残念ながら、詐欺師は最も脆弱な人々を標的にすることが多く見られます。偽の融資詐欺とは、被害者が融資を獲得しようと必死になっているために、前払い料金の要求などの警告サインを見落としがちな点を悪用する詐欺の1つです。マカフィーは、2023年にこの種の詐欺が大幅に増加すると予測しています。融資を求める場合は、常に信頼できる貸付会社を使用し、オンライン広告をクリックしないように注意してください。

メタバース

FacebookのHorizonなどのメタバースにより、ユーザーはこれまでは想像もしなかったようなオンラインの世界を探索できるようになります。このようなプラットフォームが初期段階にある場合、悪意のある攻撃者は通常、その仕組みに対する理解が十分でないことを悪用して詐欺を試みます。2022年には、このようなプラットフォームのユーザーを標的としたフィッシング キャンペーンが確認されています。プラットフォームに登録するユーザー数が増加するのに伴い、2023年にはこれがさらに劇的に増加することが予想されます。

ChromeOS の脅威の増加
著者: Craig Schmugar、シニア プリンシパル エンジニア

25年ほど前、Windows 95は、世界中の何百万人ものユーザーのみならず、そうしたユーザーを標的とするマルウェア作成者にとっても最適なプラットフォームになりました。 長年にわたり、こうした脅威と同様にWindowsは進化を遂げてきました。今日では、Windows 10と11がデスクトップPC市場の大部分を占めていますが、モバイル インターネットの台頭により、Windows 95の出現以降デバイスの多様性は急速に変化しています。

5年ほど前には、AndroidがWindowsを抜いて、世界で最も普及しているOSになりました。これに伴い、悪意のある攻撃者は新たな攻撃手法を追求してきました。 最終的な目的は、あらゆるデバイスのユーザーに影響を及ぼすものです。 電子メールやWebベースの詐欺 (上記のブログに概要を説明しているものもあります) は、こうしたテクノロジーにいつでもどこからでもアクセスできるため、かつてないほどに多用されています。 その他のテクノロジーは、デスクトップとモバイルの操作性のギャップを解消することを目指しています。

Googleの場合、このようなクロスプラットフォーム機能が、ChromeOSやいくつかの基盤となる技術の導入の増加によって明らかになっています。 これには、2億 7,000 万人のアクティブなAndroidユーザーと、プログレッシブWebアプリケーション (PWA) のインストール件数の270%増加が含まれています [https://chromeos.dev]。 Androidアプリケーションを実行する ChromeOS の機能と、広く普及している機能とを組み合わせることで、悪意のある攻撃者たちの注目を集める環境を作り出してしまっています。

同様に、PWA の導入により悪意のある攻撃者が、ChromeOS、iOS、MacOS、Windows などのマルチ OS チャネルを通じて、相手を欺く、なりすまし攻撃を実行する付加的な動機を与えます。最後に、Google によると、各国の学校に影響をもたらした新型コロナウイルスによる制限に伴い、現在世界中でChromeOSを使用している学生と教育者は 5,000 万人に上ることが明らかになっています[https://chromeos.dev]。ユーザーの多くは、Chromeウェブストアに潜む悪意のあるChrome拡張機能について知らないでしょう

これは、近い将来にChromebookに影響をもたらす脅威が著しく増加する可能性を示しています。2023年には、悪意のあるAndroidアプリ、プログレッシブWebアプリ、Chromeウェブストアの拡張機能のいずれから悪意のあるコンテンツをダウンロードして実行する、何の疑いも持たない無数の被害者の中にChromebookユーザーが含まれるようになることが予想されます。ユーザーは、信頼できないアプリのインストールを促すポップアップやプッシュ通知に注意する必要があります。

FOMO を悪用した Web3 の脅威
著者: Fernando Ruiz、シニア セキュリティ リサーチャー

編集後記: Web3?FOMO?自分は取り残されているかもしれないと感じても、それはあなただけではありません。Web3とは、ビットコインや非代替性トークン (コレクターが仮想通貨で購入できるデジタル アートのようなもの) などの技術を管理できる分散型インターネット サービスを指す用語です。まだ、十分に理解できないですよね?多くの人が同じ状況です。New York Timesの本記事は、現在 Web3 としてみなされているものについての優れた入門書です。

FOMOとは、「Fear of Missing Out (取り残されることへの不安)」を意味する略語です。常に抱えているこうした感情は、とりわけ外交的な人が多く感じるもので、他人が自分よりも楽しい体験をしているのではないか、何か見逃しているのではないかと不安になる症状のことです。

仮想通貨に投資している人も、Twitterの見出しを見ている人も、2022年に仮想通貨の価格が著しく下落していたのを目にしたのではないでしょうか。仮想通貨がさらに主流になると、こうした変動がより一般的になります。仮想通貨の価値が再び上昇する可能性は非常に高いでしょう。

パンデミックが始まった頃、評価額が最後に上昇した際に、仮想通貨に関する誇大広告も急上昇しました。突如として、ビットコインやその他の仮想通貨が至るところで見られるようになりました。その中で、Web3 の概念が高まりました。多くの企業が、ブロックチェーン (仮想通貨のバックボーンであるテクノロジー) を介して新しいアプリケーションに投資しています。

マカフィーは、仮想通貨の人気が再び上昇に転じ、消費者は分散型金融 (DeFi)、分散型自律組織 (DAO)、自己主権型アイデンティティ (SSI) などの Web3 の概念についてより一層耳にするようになると予測しています。

一部のアマチュア投資家は、この10年間でビットコインの価値が急上昇したことで、手早く儲けるための絶好の機会を逃したくないと考えています。悪意のある攻撃者が標的にするのはこういった人々です。こうしたユーザーの仮想通貨/Web3 に対する FOMO (取り残されることへの不安) をあおるようなリンクやアプリケーションを提供するのです。

仮想通貨が復活して分散化に対する最初の認識が一般向けに高まると、消費者は、それらの意味や注意すべき危険性を十分に理解することなくこうしたWeb3製品を利用し始めます。時間やお金を仮想通貨に投資したり、独自の を作成したりすることで、詐欺にさらされやすい状態になる可能性があります。こうした詐欺は、ユーザーを誘導して、一部のブロックチェーンと合法的にやり取りしているように見えるリンクをクリックさせたり、アプリをダウンロードさせたりします。ですが実際には

 ・ブロックチェーンを操作する機能はありません
 ・価値をもたらさないサービスに対して一般の通貨で手数料を徴収するように設計されています
 ・ユーザーのプライバシー、時間、デバイスのパフォーマンス、データ使用量を不正に利用し、デバイスのバッテリーを消耗させる攻撃的なアドウェアを所有しています

また、消費者が仮想通貨、NFT、デジタル不動産、またはその他のブロックチェーン金融資産を所有している場合、資産を流出させる可能性のある高度な脅威の標的になります。スマート コントラクト、取引所、デジタル ウォレット、同期サービスはいずれも、第三者 (悪意のある攻撃者である可能性がある) がこの資産を管理できるようにする非表示の認証に関連付けることができます。 ユーザーは、ダウンロードするアプリの利用規約を必ず読むようにしてください。一般的な通貨か仮想通貨かにかかわらず、あらゆる種類の金融機関を利用する場合は、特に重要になります。

また、サイバー犯罪のエントリ ポイントとしては、引き続きソーシャル エンジニアリングが上位となるでしょう。攻撃の複雑性は、技術が新たな概念を生み出すに伴い進化を遂げます。そのため、Web3アプリケーションとツールが安全に対話するための動作方法について、さらなる準備と理解が求められるようになります。

Web3の世界からこれまでに生み出されてきたものは、素晴らしいものである一方で、攻撃の対象領域や方向性をも拡大しています。Web3の進化に伴い、2023年にはさらに拡大すると予想されます。

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ