この頃、セキュリティ界隈で:
他人の死に付け込んで故人をしのぶ人をだまそうとするでっち上げの訃報や、クリック稼ぎを目的とするまだ生きている人の死亡記事が、ネット上で拡散して問題になっている。これらの問題は「死別詐欺」「訃報海賊」などと呼ばれているという。
この頃、セキュリティ界隈で:
米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。
この頃、セキュリティ界隈で:
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。
この頃、セキュリティ界隈で:
スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。
この頃、セキュリティ界隈で:
IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか?
この頃、セキュリティ界隈で:
テイラー・スウィフトの写真をAIツールで合成したわいせつ画像がXで拡散した事件は、幅広い方面に衝撃を与えた。だがこうした問題の深刻な影響を受けるのは、SNSに気軽に自分の写真を掲載する一般人の方かもしれない。対策はあるのだろうか?
他社から盗用した“パクリ記事”が、米Google Newsに大量にまぎれ込んで検索結果の上位に表示されている――。調査報道を手掛ける米メディア「404 Media」がそんな実態を告発した。
この頃、セキュリティ界隈で:
米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。
この頃、セキュリティ界隈で:
世界経済フォーラムがまとめた「グローバルリスクレポート2024」で、「虚偽情報」が初めて今後2年の10大リスクの筆頭に浮上した。背景にあるのはAIの台頭で、選挙介入からサイバー犯罪、軍事目的などでAIが利用される危険性を指摘している。
この頃、セキュリティ界隈で:
2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。2024年はどのような手口が増えると予想されるか。サイバーセキュリティ各社がその予測をまとめている。
この頃、セキュリティ界隈で:
12月にオンラインで開かれる予定だったイベントにて、ゲストスピーカーの中に実在しない女性がいたことが発覚して開催中止に追い込まれた。多様性・包括性が求めらる風潮の中、こうしたイベントの主催者が講演者の確保に苦慮している様子も垣間見える。
この頃、セキュリティ界隈で:
iPhoneのユーザー同士で手軽に連絡先情報を共有できるiOS 17の新機能「NameDrop」を巡り、自分の情報が勝手に共有されてしまうかもしれないといった誤解がSNSで広まった。一体なぜこれらの投稿は広まったのか。
この頃、セキュリティ界隈で:
ランサムウェアを操る集団が自分たちで攻撃を仕掛けて情報を流出させた企業について、被害に関する届け出を怠ったとして米証券取引委員会に“告げ口”する手口が確認された。こうした手口が発覚したのは初めてとみられる。
この頃、セキュリティ界隈で:
米首都ワシントンやニューヨーク市の警察が、車の盗難防止対策としてAppleの紛失防止タグ「AirTag」を住民に無料で配布している。米国では車の盗難が急増し、警察や自治体が対応を模索していた。
米カリフォルニア州やテキサス州で自動運転タクシーのサービスを展開していた米Cruiseが、相次ぐ事故を受けて営業を停止した。米国では、公道を走る自動運転車が予想外のトラブルなども発生し、安全性や実用性を巡る論議が続いている。
この頃、セキュリティ界隈で:
組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業の調査でそんな実態が明らかになった。
この頃、セキュリティ界隈で:
パレスチナ自治区ガザのイスラム勢力ハマスとイスラエルの戦闘が、サイバー空間でも激化している。
この頃、セキュリティ界隈で:
米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。
3年近く在宅勤務を続けてきた従業員が徐々にオフィスに戻り始めている。しかし出社を強要しようとする会社と抵抗する従業員との対立も表面化しており、中には出社を命じられて従業員の半数近くが退職してしまった会社もある。
この頃、セキュリティ界隈で:
テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。
この頃、セキュリティ界隈で:
米国務省などの電子メールを狙った不正アクセスの被害が7月に発覚した。8月には、日本の機密防衛ネットワークが不正侵入を受けていたという報道も。米政府などは、いずれも中国のハッカー集団が関与していたとして警戒を強めている。
この頃、セキュリティ界隈で:
Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。これを受け、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。
ハリウッド俳優の組合がストライキに突入し、映画やドラマの制作が中断するなどの影響が広がっている。大きな争点となっているのはAIの使用だ。人間がAIに取って代わられ、AIが主役になる――そんな筋書きが現実になることを、俳優や脚本家は危惧している。
この頃、セキュリティ界隈で:
名古屋港の貨物や設備を管理するシステムで発生したランサムウェア感染は、物流の混乱を招くなど大きな被害を与えた。その攻撃に使われたのは「LockBit」というランサムウェア。その攻撃の手口や特徴を解説する。
インフルエンサーがTikTokやInstagramで紹介した商品は、たちまち評判になって売り切れが続出することもあるが、そんなトレンドに水を差し「本当にそれ、必要?」と問いかける「ディインフルエンサー」が、SNSで存在感を強めている。
この頃、セキュリティ界隈で:
クラウド最大手の米Amazon Web Services(AWS)や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。
この頃、セキュリティ界隈で:
AIを使って本物と見分けがつかないような偽コンテンツが簡単に作成できるようになり、一部の犯罪が悪質化している。SNS上の写真からディープフェイクのわいせつ画像をでっち上げ、脅迫に使う手口が横行していると米FBIが注意喚起している。
この頃、セキュリティ界隈で:
AIを使って音声を合成する音声クローン技術が悪用される危険が強まっている。闇サイトでは、そうした悪用に手を貸す「VCaaS」と呼ばれるサービスも台頭しているという。
この頃、セキュリティ界隈で:
空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。
この頃、セキュリティ界隈で:
AIチャット「ChatGPT」に人格を持たせると、性差別や人種差別など不穏当な発言を連発するようになって有害性が増大する──米国の非営利研究機関「アレン人工知能研究所」はそんな研究結果を発表した。
この頃、セキュリティ界隈で:
多くの子供がプレイするスマートフォンゲーム。そんな状況の中、ゲーム内通貨を欲しがったり、優位に立ちたいと思ったりする子供心に付け込むサイバー犯罪の手口が増えているという。狙いは子供のアカウントを踏み台にして、保護者のPCだ。
この頃、セキュリティ界隈で:
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。弱点として狙われたのは、エンジニアの自宅PCだった。
この頃、セキュリティ界隈で:
複雑化・巧妙化するサイバー攻撃に対抗するうえで欠かせない戦略として提唱されてきたゼロトラスト。しかし完全実装できているのは大企業でも1%に満たないのが実態だという。また、攻撃側がゼロトラストを警戒して手口をシフトさせる傾向も浮上している。
この頃、セキュリティ界隈で:
多彩さと便利さで話題に事欠かない対話型AIの「ChatGPT」だが、マルウェアの作成やフィッシング詐欺といった犯罪目的で利用される恐れもあると、米国のサイバーセキュリティ企業が警鐘を鳴らしている。
この頃、セキュリティ界隈で:
航空機の安全な運航に欠かせない米連邦航空局(FAA)のシステムで障害が発生し、全米で一時的に全ての便の運航が停止した。その後の調査で直接的な原因は判明したものの、FAAのシステム老朽化を懸念する声が上がっている。
この頃、セキュリティ界隈で:
米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。
この頃、セキュリティ界隈で:
警察による「殺人ロボット」の使用を認める方針がカリフォルニア州サンフランシスコ市議会で承認され、物議を醸した。その後反対の声が強まってこの承認は撤回されたが、かつてSFの中の話だった殺人ロボットは、現実の兵器として実用化の段階に入っている
この頃、セキュリティ界隈で:
米Appleがセキュリティ研究サイトを新設し、外部の研究者との協力関係を重視する姿勢を打ち出した。業界からは一定の評価がある一方で、脆弱性修正の方針を巡って依然、疑問の声もある。
この頃、セキュリティ界隈で:
米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。
この頃、セキュリティ界隈で:
転職活動や企業の人材採用などに幅広く使われているビジネス向けSNSのLinkedInで、大企業の役員や特定分野のエキスパートをかたる偽アカウントが大量に作成されているのが見つかった。誰が何の目的で仕掛けているのかは分かっていない。
この頃、セキュリティ界隈で:
米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。
この頃、セキュリティ界隈で:
TwitterとFacebookで削除された不正なアカウントの解析で、フェイクニュースを投稿して世論操作を試みようとするキャンペーンが米国から展開されていたことが明らかになった。
この頃、セキュリティ界隈で:
ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。
この頃、セキュリティ界隈で:
米国務省が最大1000万ドル(約13億円)の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。
この頃、セキュリティ界隈で:
Microsoftが「Emotet」などのマルウェア対策としてマクロを遮断する措置を講じているが、これを受けて攻撃側がISO(.iso)やRAR(.rar)などのコンテナファイルを使い始めている実態が浮かび上がった。
この頃、セキュリティ界隈で:
ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。
この頃、セキュリティ界隈で:
Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。
この頃、セキュリティ界隈で:
「Follina」と呼ばれるゼロデイの脆弱性が、Microsoftの6月14日の月例セキュリティ更新プログラムで修正された。同社は、いったんはセキュリティ問題ではないと見なしていたことも判明。Microsoftの脆弱性に対する対応や情報開示の在り方に関する論議も起きている。
この頃、セキュリティ界隈で:
セキュリティ対策の不備や、不正侵入の足掛かりとして利用された弱点について、米Verizonが2022年版データ漏えい・侵害調査報告書で解説している。
この頃、セキュリティ界隈で:
大手SNSサービスでは暴力的なコンテンツを締め出す一方で、匿名掲示板の4chanなどのWebサイトは、大手から締め出されたユーザーが過激な内容を共有できる場として存続。そこで見たコンテンツから刺激を受け、犯罪に手を染めるユーザーが後を絶たない。