Vishing、つまり「voice(声)」と「phishing(フィッシング)」を組み合わせた言葉で、電話通信を利用して個人や管理上の機密情報を抽出する洗練されたソーシャルエンジニアリング戦術が問題となっています。この手法は新しいものではありませんが、過去の事例は、セキュリティの障壁を破る上でのvishingの効果が持続していることを強調しています。
2023年9月に発生したMGMリゾーツのサイバー攻撃は、ALPHV/BlackCatランサムウェアを使用したScattered Spiderグループによって実行されました。攻撃者はvishingを重要な要素として使用し、ITヘルプデスクに電話をかけ、MGMの従業員を装って認証情報を取得しました。これにより、カード決済の中断、予約サイトの停止、ATMのシャットダウン、ホテルの客室からのゲストのロックアウトなど、重要なサービスが妨害されました。顧客データの妥協により、MGMリゾーツは無料のクレジットモニタリングを含む包括的な対策を実施しました。
攻撃者は、フィッシング、欺瞞的なアプリケーション、ソーシャルエンジニアリング、ソーシャルメディア、ポッドキャスト、録音されたウェビナーや会議など、さまざまな方法を利用してデータベースを構築し、機密情報を抽出するために正当なソースを模倣した欺瞞的な音声通信、いわゆるvishing攻撃を作成しています。これらの攻撃は、音声認証システムをバイパスするために使用できる特定のフレーズをキャプチャするか、詐欺活動で個人を模倣するために使用できるターゲットの話し方やトーンのサンプルを収集することを目的としています。
疑わしいvishing活動に効果的に対抗するためには、包括的なセキュリティプロトコルの導入が不可欠です。これには、機密情報の共有に使用する安全な通信チャネルの定義、定期的なセキュリティトレーニングセッションの実施、合成または操作されたオーディオを検出できる音声認証システムの採用などが含まれます。また、通信ログの定期的な監査やAIによる異常検出システムの採用も、これらの洗練された攻撃に対する組織の防御をさらに強化することができます。
組織は、従業員に対して安全な情報共有に関する教育を優先し、すべての通信アプリに多要素認証の必須化、通話者の身元を確認する重要性の教育、そして不定期に内部でvishing試みを模倣するドリルを実施することが有効です。これらのドリルは、従業員の警戒心と提供されたトレーニングの効果を評価するための戦略として機能します。
【ニュース解説】
Vishing(ボイスフィッシング)は、電話を通じて個人や企業の機密情報を不正に取得しようとする詐欺の一形態です。この手法は、古くから存在するものの、AI(人工知能)や機械学習の進化により、より巧妙かつ効果的なものになっています。
例えば、2023年9月に発生したMGMリゾーツへのサイバー攻撃では、攻撃者がvishingを利用して従業員を装い、ITヘルプデスクから認証情報を騙し取りました。この攻撃により、多大なサービスの中断や顧客データの漏洩が発生し、企業にとって大きな損害となりました。
攻撃者は、様々な手段を用いて声のサンプルを収集し、AIを駆使してターゲットの声を模倣することで、より説得力のあるvishing攻撃を行います。これにより、従来の音声認証システムさえも騙すことが可能になり、セキュリティの脅威は一層高まっています。
このような脅威に対抗するためには、企業や個人がセキュリティ意識を高め、適切な対策を講じることが重要です。例えば、機密情報の共有には安全な通信チャネルの使用、多要素認証の導入、定期的なセキュリティトレーニングの実施などが挙げられます。また、AIを利用した異常検出システムの導入により、不審な通信を早期に発見し、対処することも有効です。
さらに、従業員に対する教育と訓練を強化し、vishing攻撃を模倣したドリルを実施することで、実際の攻撃に対する警戒心を高めることができます。これにより、攻撃を未然に防ぐだけでなく、万が一の際にも迅速かつ適切に対応する体制を整えることが可能になります。
AIと機械学習の進化は、サイバーセキュリティの分野において多くの可能性を秘めていますが、同時に新たな脅威も生み出しています。このため、技術の進歩に伴い、セキュリティ対策も進化させていく必要があります。
from Beyond the Call: AI and Machine Learning’s Role in Evolving Vishing Cyber Threats.
