詐欺の（ますます高まる）可能性：ビッシング増加の背景にあるもの

これは最先端のAIマルウェアでもなければ、数多くの強力なリモートコード実行の脆弱性でもありません。

シンプルな通話です。

「私たちはクライアント向けにソーシャルエンジニアリング・キャンペーンを行っています。その目的は、ヘルプデスクに電話して、従業員になりすましてパスワードをリセットできるのかどうか検証することです」とCarruthersは説明します。「これまでのところ、私たちは毎回成功を収めてきました。」

IBMのX-Forceチームのメンバーとして、Carruthers氏は自分の力を善のために使い、模擬攻撃を仕掛けて、クライアントがセキュリティ上の欠陥を特定し、対処できるように支援しています。

しかし、ここ数か月で、多くの悪意のある ハッカー もビッシング、つまり「ボイス・フィッシング」の時流に乗っています。CrowdStrike社の最近のレポート によると、詐欺電話を使って人々を騙し、機密情報を共有させたり、マルウェアをダウンロードさせたり、犯罪者に送金させたりするビッシング詐欺は、2024年に442%増加しました。

Carruthers氏と他のサイバーセキュリティー専門家は脅威アクターが組織の厳格化するセキュリティー管理を回避する方法を模索しているため、ビッシングの事例が急増すると予想しています。

Carruthers氏は、「誰かが電話に出るのを止めるよりも、Eメールをフィルタリングする方がはるかに簡単です。」と述べています。

サイバーセキュリティーの世界では、攻撃者と防御側は長い間、軍拡競争状態に置かれてきました。攻撃者は脆弱性を特定し、それをエクスプロイトします。防御側は脆弱性を修正し、将来同様の攻撃を防ぐために保護を強化します。その流れの繰り返しです。

しかし、セキュリティー・ソリューションがより高度になり、セキュリティーの実践がより洗練されるにつれて、ハッカーはそもそも悪用可能な欠陥を見つけるのが難しくなっています。

これに対して、多くの攻撃者は、より修正が難しいターゲットである、人間に注意を向けるようになりました。

IBM® X-Force Threat Intelligence Indexによると、フィッシングと有効なユーザー・アカウントの不正使用は、現在サイバー犯罪者が企業ネットワークに侵入する最も一般的な3つの方法のうちの2つです。 

正当なアカウントを乗っ取ることで、攻撃者は実際のユーザーになりすまし、多くのセキュリティ対策を回避して水平移動し、権限を昇格させることができます。 

また、かつてはEメールやテキスト・メッセージがあらゆる場面でフィッシャーが取る既定の手段でしたが、高度なスパムフィルターが発達した現代では、これらの方法はあまり意味をなしません。 

電話となると話は別です。 

「現在の多くの重大なデータ侵害を見ると、侵害の始まりは通話であったことがわかるでしょう」とCarruthers氏は言います。「従業員になりすました人がヘルプデスクに電話してアカウントのパスワードをリセットしました。今や彼らはそのアカウントを掌握し、多くのシステムに侵入することができます。」

サービスプロバイダーは、電話詐欺対策に役立つ迷惑電話フィルターを導入していますが、Eメールやテキストフィルターほど信頼性は高くありません。 

さらに、個人所有デバイスの業務使用（BYOD）プログラムの普及により、従業員は業務に個人のスマートフォンを使用することが多くなりました。例えば企業のEメール・アカウントと比べると、組織は多くの場合、これらのデバイスのセキュリティをあまり管理できません。

しかし、ビッシングの最も危険な点は、被害者が電話に出たときに、他の人が介入できる余地がほとんどないことです。 

電話での会話では、Eメールのように慌てず熟慮する機会はありません。詐欺師はこの事実を利用し、切迫感を高め、被害者に質問や情報を浴びせかけます。被害者には、落ち着いて辻褄が合うかどうかを考察する余裕はありません。

これらの要素がすべて、ビッシングを著しく効果的なものにしています。Carruthersは、ピープル・ハッカーとして、またDEF CONのSocial Engineering Community Vishing Competition（SECVC）のファシリテーターの一人として、この事実を身をもって知っています。

このコンペティションでは、14のチームが対決し、オーディエンスの前にある防音ブースから行われたライブ・ビッシング通話中に、誰が最も多くの目標を達成できるかを競います。

「その目的は、『私たちがソーシャル・エンジニアリングに関してどれほど優秀であるかを見てください』と言うことではありません」とCarruthers氏は説明します。「ソーシャル・エンジニアリングがどのように普及し、それが実際にどのように起こっているかを示すことです。多くの人は、これは単なるEメール・ベースだと考えます。彼らは電話や、自分たちが信じられないほど成功していることを忘れてしまうのです。」

Carruthers氏によると、最近のコンペティションで、どのチームも目標の少なくともいくつかを達成しました。つまり、何らかの情報を抽出したり、人々にリスクの高い行動をとらせたりすることになりました。

言い換えれば、ビッシング詐欺は、常にターゲットから何かを得ているようです。完璧な対策は存在しません。

X-Forceのメンバーとして、Carruthers氏は多くの組織によるセキュリティー意識向上トレーニングの刷新を支援してきました。彼女の経験では、ほとんどのトレーニング・プログラムはビッシング詐欺をまったくカバーしていません。その場合は、「電話でパスワードを教えない」などの高レベルのアドバイスにとどまります。

「回避するためのコツがあるんです」と、Carruthersは言います。「電話でパスワードは尋ねません。私はこう言います『このウェブサイトにアクセスして、ユーザー名とパスワードを入力してください。私には伝えないでください。安全ではないので』」

もちろん、これはCarruthers氏か、もっと悪いことに実際の脅威アクターが管理するWebサイトで、今では彼らはあなたの認証情報を入手しています。

ハッカーにとって電話はローテクな方法かもしれませんが、電話を使う方法の中には明らかに未来的なものもあります。

動画や人間の音声を生成できる人工知能（AI）ツールの誕生により、詐欺師は本物の人間のように説得力のあるディープフェイクを作成し、高度に標的を絞った攻撃を行うことができるようになりました。

「CEOから毎週ビデオメッセージを受け取ることが習慣化している場合を考えてみましょう」とCarruthersは言います。「今では、ハッカーはそのウィークリー・メッセージを独自のバージョンで作成し、特定のことを実行するように求めることができます。あなたはこれに気付けるでしょうか？」

昨年の夏、詐欺師たちはパロアルトネットワークス社のセキュリティー研究者を騙そうとしました。AIを使用して、娘の声を模倣したのです。

生成AIが進化するにつれ、最悪の場合は、自律的で大規模に拡張可能なビッシング・オペレーションにつながるのではないかと懸念する人もいます。

これは推測ですが、事実に基づいていますCarruthers氏自身はAI搭載の詐欺師に挑み、辛うじて勝利しました。

昨年のDEF CONで、Carruthers氏とパートナーは、ハンマー使いコンテストで蒸気駆動の削岩機に勝ったアメリカの国民的英雄にちなんで名づけられた、ジョン・ヘンリー・コンペティションの初開催時に人間代表として参加しました。対戦相手は、ビッシング詐欺に特化した音声合成機能を備えたAIチャットボットです。

コンペティションの目的は、一連のライブ・ビッシング・コールで誰が最も多くのポイントを獲得できるかを確認することでした。

「私はかなり自信過剰でした」とCarruthersは回想する。「『私たちは必ず勝つ、間違いない。AIからの声は、おそらくボロを出し始めるか、奇妙な質問をし始める。何か間違いを犯すだろう。』と私は考えました」

本当に間違いは起こりましたが、それはボットではなくCarruthersに起こりました。

「ボットが電話をかけ始めたのが聞こえた時、私は『なんてことだ』と思いました」と彼女は言います。 

彼女の言葉を借りれば、チャットボットは「素晴らしい」仕事をしました。さまざまな通話に対してさまざまな手法と声を使用したのです。人々のシステムに関する情報を収集し、特定のウェブサイトにアクセスするなどの行動を取るように説得することさえできました。

「人間のオペレーターの観点から考えてみましょう」と、Carruthers氏は言います。「一歩下がって、すべてをコンピューターに任せることができれるのなら、これはかなり恐ろしいことです」

ジョン・ヘンリーの物語と同様、大差ではありませんでしたが、人間は確かに勝利しました。（そして、伝説的なヘンリーは自動ドリルに勝利した後で過労により死亡しましたが、Carruthers氏とそのパートナーは今も生きています。）

しかし、彼女たちはいつまでも勝ち続けるわけではないかもしれません。

「このまま毎年続けるならば、AIが人間を追い抜く時期は、必ずやって来ると思います」と、Carruthers氏は言います。

ヴィッシング・インシデントの数は今後も増加し続けると予測されており、組織は防御を強化する必要があります。ヴィッシングの性質を考えると、個々の従業員が詐欺電話に気づき、対応できるようにすることに重点を置く必要があります。

「攻撃者は、あなたの迅速な行動に依存しています」とCarruthersは言います。「ですから、どのような類のコミュニケーションが受信しても、可能な限りゆっくりと落ち着いて、評価してください」

ビッシング・コールは、多くの場合、被害者が迅速に対処しなければならない緊急の問題などとして提示されます。Carruthersが指摘するように、正当な要件は、たとえ差し迫った内容の要件だとしても、通常は検証を待つ余地があります。

5分以内に支払いを行わなければ、あなたのアカウントを解約するというベンダーはありません。あなたが詳細を尋ねることができないほど、CEOがAmazonギフトカードを必要とすることは決してありません。

検証に関して言うと、AIクローンの出現により、音声ベースの検証はほとんど役に立たなくなりました。

「たとえば、私の祖母と名乗る人物から電話がかかってきたとします」とCarruthersは説明します。「電話番号は合っています。声も本人そっくりです。しかし、何かが腑に落ちません。彼女は助けが必要で、私に送金してほしいと言います。さて、どうすればよいでしょうか」

Carruthers氏は、友人や親族を含む人々とコード・ワードを確立することを推奨しています。正式なパスコードである必要はありません。最近勧められた本など、その人だけが知っている個人情報である必要があります。（昨年、フェラーリ社の幹部が、まさにこの戦術を使ってAIビッシング詐欺を阻止しました。）

エンタープライズ・セキュリティー・チームは、すべての従業員が十分に緊密な個人的関係を持っていることに頼れないので、書籍の推薦を使った検証を大規模に行うことはできません。しかし組織は、複数の証明ポイントを使用して、パスワードのリセットから請求書の支払いまで、あらゆる要求の発信者の身元を検証する多層検証プロセスを構築できます。

「誰かを検証するために使用できるレイヤーが多ければ多いほど、より良い結果が得られます」とCarruthers氏は言います。「また、声や生年月日、誰かが育った通りの名前など、簡単に見つけられたり偽られたりする可能性のあるものは使用しないでください。」

Carruthersが見たことのある一意で捏造が困難な要因には、企業コード・ワードのローテーション、従業員のマネージャーによる認証、ワンタイム・パスワードの事前登録済みデバイスへの送信などが含まれます。

（事前登録は重要です。それがなければ、詐欺師は管理している番号を提供するだけで済みます。）

組織が使用する要素が何であれ、複数の要素を使用する必要があります。

「あるクライアントがローテーションする企業コード・ワードを使用したことで、当社はその言葉をソーシャル・エンジニアリングすることができ、最終的に私たちを食い止めることはできませんでした」とCarruthersは言います。「だからこそ、私は複数のものを用意しておくことを強く支持しているのです。」