鈴木聖子

Xでポストした「Twitter.com」の文字列が自動的に「X.com」に変換されてしまう――。4月上旬、Xでそんな現象が発生し、詐欺に利用されかねないとしてユーザーが警戒を呼びかけた。間もなく問題は解消されたが、Xの混乱ぶりにあきれる声などが相次いでいる。

米Amazonのレジなし清算システム「Just Walk Out」の縮小を迫られている。AIを駆使した無人化が売りのはずだったこの技術を巡り、実はインドから1000人の人力で運営を支えていたと報じられた他、レジなし店舗を巡るさまざまな課題も浮かび上がった。

他人のiPhoneを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いでている。「MFA爆弾」などと呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。

他人の死に付け込んで故人をしのぶ人をだまそうとするでっち上げの訃報や、クリック稼ぎを目的とするまだ生きている人の死亡記事が、ネット上で拡散して問題になっている。これらの問題は「死別詐欺」「訃報海賊」などと呼ばれているという。

米OpenAIの「ChatGPT」やGoogleの「Gemini」など、主要生成AIの弱点や脆弱性が次々に発覚している。

GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。

スマートホーム製品を手掛ける米Wyzeの防犯カメラで、ユーザーのアプリの画面に見ず知らずの他人の家の画像や映像が表示されてしまう不具合が発生した。同じような問題は2023年にも確認されたばかりで、同社に対しては厳しい目が向けられている。

IoT電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は事実ではなかったことが判明した。実際にIoT歯ブラシがDDoS攻撃に利用される可能性はあるのか？

テイラー・スウィフトの写真をAIツールで合成したわいせつ画像がXで拡散した事件は、幅広い方面に衝撃を与えた。だがこうした問題の深刻な影響を受けるのは、SNSに気軽に自分の写真を掲載する一般人の方かもしれない。対策はあるのだろうか？

他社から盗用した“パクリ記事”が、米Google Newsに大量にまぎれ込んで検索結果の上位に表示されている――。調査報道を手掛ける米メディア「404 Media」がそんな実態を告発した。

米証券取引委員会（SEC）のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。

世界経済フォーラムがまとめた「グローバルリスクレポート2024」で、「虚偽情報」が初めて今後2年の10大リスクの筆頭に浮上した。背景にあるのはAIの台頭で、選挙介入からサイバー犯罪、軍事目的などでAIが利用される危険性を指摘している。

2023年は「ChatGPT」のような生成AIが急激に台頭し、サイバー攻撃を仕掛ける側も防ぐ側も、AIの活用に注目した年だった。2024年はどのような手口が増えると予想されるか。サイバーセキュリティ各社がその予測をまとめている。

12月にオンラインで開かれる予定だったイベントにて、ゲストスピーカーの中に実在しない女性がいたことが発覚して開催中止に追い込まれた。多様性・包括性が求めらる風潮の中、こうしたイベントの主催者が講演者の確保に苦慮している様子も垣間見える。

iPhoneのユーザー同士で手軽に連絡先情報を共有できるiOS 17の新機能「NameDrop」を巡り、自分の情報が勝手に共有されてしまうかもしれないといった誤解がSNSで広まった。一体なぜこれらの投稿は広まったのか。

ランサムウェアを操る集団が自分たちで攻撃を仕掛けて情報を流出させた企業について、被害に関する届け出を怠ったとして米証券取引委員会に“告げ口”する手口が確認された。こうした手口が発覚したのは初めてとみられる。

米首都ワシントンやニューヨーク市の警察が、車の盗難防止対策としてAppleの紛失防止タグ「AirTag」を住民に無料で配布している。米国では車の盗難が急増し、警察や自治体が対応を模索していた。

米カリフォルニア州やテキサス州で自動運転タクシーのサービスを展開していた米Cruiseが、相次ぐ事故を受けて営業を停止した。米国では、公道を走る自動運転車が予想外のトラブルなども発生し、安全性や実用性を巡る論議が続いている。

組織のシステムをサイバー攻撃から守る対策を徹底すべき立場にあるIT管理者の多くが、実はエンドユーザーと同じくらい安易なパスワードを使っていた――スウェーデンのサイバーセキュリティ企業の調査でそんな実態が明らかになった。

パレスチナ自治区ガザのイスラム勢力ハマスとイスラエルの戦闘が、サイバー空間でも激化している。

米政府のサイバーセキュリティ機関が、大規模組織にありがちなセキュリティの設定不備トップ10のリストを発表した。実際のサイバー攻撃に使われた手口などに基づきまとめたもので、それぞれについて具体的な対策も紹介している。

3年近く在宅勤務を続けてきた従業員が徐々にオフィスに戻り始めている。しかし出社を強要しようとする会社と抵抗する従業員との対立も表面化しており、中には出社を命じられて従業員の半数近くが退職してしまった会社もある。

テレビのリアリティー番組出演者だった男性の公式Instagramアカウントに、本人の訃報が掲載された。これを見て一部メディアが男性死亡のニュースを報道。ところが翌日、本人が「私は生きている」と宣言した。

米国務省などの電子メールを狙った不正アクセスの被害が7月に発覚した。8月には、日本の機密防衛ネットワークが不正侵入を受けていたという報道も。米政府などは、いずれも中国のハッカー集団が関与していたとして警戒を強めている。

Microsoftのクラウドサービスを利用していた米国務省や商務省の電子メールアカウントが、不正アクセスの被害に遭っていたことが分かった。これを受け、Microsoftに対して「セキュリティ慣行がずさん」「無責任」などと非難する声が上がっている。

ハリウッド俳優の組合がストライキに突入し、映画やドラマの制作が中断するなどの影響が広がっている。大きな争点となっているのはAIの使用だ。人間がAIに取って代わられ、AIが主役になる――そんな筋書きが現実になることを、俳優や脚本家は危惧している。

名古屋港の貨物や設備を管理するシステムで発生したランサムウェア感染は、物流の混乱を招くなど大きな被害を与えた。その攻撃に使われたのは「LockBit」というランサムウェア。その攻撃の手口や特徴を解説する。

インフルエンサーがTikTokやInstagramで紹介した商品は、たちまち評判になって売り切れが続出することもあるが、そんなトレンドに水を差し「本当にそれ、必要？」と問いかける「ディインフルエンサー」が、SNSで存在感を強めている。

クラウド最大手の米Amazon Web Services（AWS）や「Microsoft 365」では6月、サーバがダウンしてサービスが一時的に使えなくなる障害が発生した。AmazonやMicrosoftのような最先端企業でさえも防ぎ切れないサーバダウンは、なぜ起きるのか。

AIを使って本物と見分けがつかないような偽コンテンツが簡単に作成できるようになり、一部の犯罪が悪質化している。SNS上の写真からディープフェイクのわいせつ画像をでっち上げ、脅迫に使う手口が横行していると米FBIが注意喚起している。

AIを使って音声を合成する音声クローン技術が悪用される危険が強まっている。闇サイトでは、そうした悪用に手を貸す「VCaaS」と呼ばれるサービスも台頭しているという。

空港やホテルにある無料USB充電ポートを使っただけでスマートフォンがマルウェアに感染する――そんなサイバー犯罪の手口について、FBIやマスコミが改めて注意を呼びかけている。しかし実はこの攻撃が実際に仕掛けられた事案は確認されていないという。

AIチャット「ChatGPT」に人格を持たせると、性差別や人種差別など不穏当な発言を連発するようになって有害性が増大する──米国の非営利研究機関「アレン人工知能研究所」はそんな研究結果を発表した。

多くの子供がプレイするスマートフォンゲーム。そんな状況の中、ゲーム内通貨を欲しがったり、優位に立ちたいと思ったりする子供心に付け込むサイバー犯罪の手口が増えているという。狙いは子供のアカウントを踏み台にして、保護者のPCだ。

パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。弱点として狙われたのは、エンジニアの自宅PCだった。

複雑化・巧妙化するサイバー攻撃に対抗するうえで欠かせない戦略として提唱されてきたゼロトラスト。しかし完全実装できているのは大企業でも1％に満たないのが実態だという。また、攻撃側がゼロトラストを警戒して手口をシフトさせる傾向も浮上している。

多彩さと便利さで話題に事欠かない対話型AIの「ChatGPT」だが、マルウェアの作成やフィッシング詐欺といった犯罪目的で利用される恐れもあると、米国のサイバーセキュリティ企業が警鐘を鳴らしている。

航空機の安全な運航に欠かせない米連邦航空局（FAA）のシステムで障害が発生し、全米で一時的に全ての便の運航が停止した。その後の調査で直接的な原因は判明したものの、FAAのシステム老朽化を懸念する声が上がっている。

米ラスベガスで開幕したCESでは、クルマが話題の中心になることが増えた。クルマ本体だけでなく、自動運転やつながるクルマなどの技術に注目が集まる一方、メーカー各社のシステムに、数多くの脆弱性が潜んでいる実態が明らかになっている。

警察による「殺人ロボット」の使用を認める方針がカリフォルニア州サンフランシスコ市議会で承認され、物議を醸した。その後反対の声が強まってこの承認は撤回されたが、かつてSFの中の話だった殺人ロボットは、現実の兵器として実用化の段階に入っている

米Appleがセキュリティ研究サイトを新設し、外部の研究者との協力関係を重視する姿勢を打ち出した。業界からは一定の評価がある一方で、脆弱性修正の方針を巡って依然、疑問の声もある。

米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。

転職活動や企業の人材採用などに幅広く使われているビジネス向けSNSのLinkedInで、大企業の役員や特定分野のエキスパートをかたる偽アカウントが大量に作成されているのが見つかった。誰が何の目的で仕掛けているのかは分かっていない。

米Uber Technologiesやゲームメーカーの米Rockstar Gamesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。各社とも多要素認証で従業員のアカウントを保護していたが、攻撃者はプッシュ通知を大量に送る“多要素認証疲れ”を手口に利用していた。

TwitterとFacebookで削除された不正なアカウントの解析で、フェイクニュースを投稿して世論操作を試みようとするキャンペーンが米国から展開されていたことが明らかになった。

ランサムウェア集団「LockBit」が、サイバーセキュリティ企業の米EntrustにDDoS攻撃を仕掛けられたと主張している。LockBitがEntrustから盗み出したデータを暴露しようとしたところ、サイバー攻撃を受けてリークサイトがダウンしたというのだ。

米国務省が最大1000万ドル（約13億円）の賞金をかけ、ランサムウェア集団「Conti」の幹部とされる5人についての情報提供を呼び掛けた。匿名で情報を提供できる専用のTorサーバを開設し、複数の言語で闇サイトなどに賞金情報を掲載している。

Microsoftが「Emotet」などのマルウェア対策としてマクロを遮断する措置を講じているが、これを受けて攻撃側がISO（.iso）やRAR（.rar）などのコンテナファイルを使い始めている実態が浮かび上がった。

ランサムウェアやDDoSといったサイバー攻撃を経験した企業の多くは、その後何度も被害に遭っている──。そんな実態が、イスラエルのサイバーセキュリティ企業Cymulateの調査で浮き彫りになった。

Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したりするケースもある。