英国の小売業者であるコープ・オペレーティブ・グループ(Co-op)、マークス&スペンサー(M&S)、ハロッズは、ここ数日で大規模なサイバー攻撃を受けた。ハッカーに関する詳細は不明だが、攻撃の近接性から、 これら3つの攻撃すべてに関与する単一の脅威アクター、そしておそらく、M&S 攻撃にすでに関与していることがわかっているハッキング グループ「Scattered Spider」も関与している可能性があります。小売業者、銀行、その他すべての企業はどのように対応すべきでしょうか?
小売業ハッカーの戦術
英国の小売チェーンであるブーツがIT障害の被害を受けた最新の企業である一方、モリソンズは昨年サイバー攻撃により売上に大きな打撃を受けており、またカリーズとJDスポーツも顧客データを侵害する攻撃を受けている。小売業者が脆弱なのは明らかであり、マークス&スペンサーが非接触型決済に対応できないことで5億ポンドの損失を被り、コープの店舗の棚が空になったことから、これらの攻撃の重大さを過小評価することはできない。
どうしたの?偽の学位で職を得た北朝鮮出身のリモートワーカーによって IT 部門がハッキングされた可能性はあるだろうか?これらの悪者がすでに非常に洗練されていることはわかっています。人事部は4回のビデオ面接を実施し、応募者の写真(AIで強化)と一致していることを確認し、追加の身元調査を実施しましたが、すべて問題ありませんでした(盗難された米国のIDが使用されたため)。 結局、彼は幽霊社員を雇うことになった。 すぐにマルウェアのダウンロードが開始されました。別の会社は、北朝鮮の人々に遠隔地のアウトソーシングの仕事を確保するための組織的な計画の餌食になっていたことが判明し、 3分の1以上 彼女のエンジニアリングチームは全員北朝鮮出身でした!
北朝鮮の Python プログラマーでなかったら、外国のエージェントがこれまで知られていなかった量子コンピュータにアクセスして秘密コードを解読し、秘密鍵を複製してネットワーク セキュリティを破り、小売業者のネットワークに侵入したのだろうか?内部関係者は、望ましくない利用規約の変更に対する報復として、ホストに反旗を翻し、彼らを不利に扱おうとしたのでしょうか?大手サプライヤーが提供する IT システムは、競合小売業者に代わって活動する偽装攻撃者によってハッキングされたことがありますか?
いいえ、もちろん違います。それは偽の従業員やハッカーによる暗号解読ではなく、いつでもどこでも起きている同じ攻撃でした。ハッカーはヘルプデスクに電話をかけ、パスワードを紛失した従業員のふりをしました。英国の国家サイバーセキュリティセンター(NCSC)は、これらの攻撃に関連して、企業はITヘルプデスクの運営方法を再評価する必要があると述べた。スタッフの承認を得て「パスワードをリセットする前に、特にITネットワークの上位レベルにアクセスできる上級社員の場合は、そうすべきです。まあ、それは当然です。いつものソーシャルエンジニアリングのハッキングと同じです。」
そうである必要はありません。金融分野では、生体認証の最も一般的な用途の 1 つはアカウントの回復であり、銀行が顧客確認 (KYC) 認証を使用してアカウントへのアクセスを回復するのと同じように、小売業者が従業員確認 (KYE) 認証を修正するために同じ種類のテクノロジーを使用できない理由がわかりません。
(たとえば、Keyless や Anonybit などの企業が何をしているのかをご覧ください。)
M&Sは最新の年次報告書で、ハイブリッドワークへの移行によってサイバー攻撃に対してより脆弱になったと警告しており、私はコープの攻撃に対する対応の一部が 従業員にカメラをオンにしておくように指示します。 リモートワークの会議中や「出席者全員の確認」中。 70,000万人の従業員に送信された社内メールでは、Teamsの通話を録音または書き写さないよう要求されており、ハッカーが社内会議に出席してコピーを保管し、ソーシャルエンジニアリング攻撃を改善するための情報を入手し、将来のハッキングに役立てるために社内システムに関する情報も入手していた可能性を示唆している。
新たな犯罪、新たな犯罪者。
犯罪の性質が変化しており、サイバー犯罪者が賢くなっているということは誰もが認識しています。カメラをつけたままにしておくことは、多くの理由から良い政策ではあるが、ここで大きな違いを生むかどうかは分からない。 AIはすでに同僚を騙すために人々のビデオを作成する能力があり、何年も悪質な目的で使用されてきた。香港警察によると、「結局、部下が見たのは全員偽物だった。"
このようなディープフェイクは、銀行や小売業だけにとどまらず、広まっています。ロンドンのアートギャラリーのオーナーは、偽のピアース・ブロスナンとの展示会の交渉に数か月を費やした後、30,000万ポンドの損失を被った。英国で起きた別の事件では、少なくとも14人の男女に代わって市民権試験に合格するため、発覚を逃れるために「偽造身分証明書」を使い、一連のかつらや衣装を着用した疑いで女性が逮捕された。 AirBnBのオーナーが、盗難IDを持ち、偽造運転免許証で照会報告書を渡した女性に物件を貸し出しました。その後、彼女は家具を盗み、その家をパーティー会場として転貸しました。
AI ハッカー、AI 防御?いいえ。
連邦準備制度理事会(FRB)のマイケル・バー理事は最近、AIを活用したディープフェイク攻撃の増加を受け、銀行は「火に油を注ぐ」ようにAIへの投資を増やすべきだと述べました。しかし、私はこれに反対です。AIによる偽造が改良されるまでは、顔認識、音声分析、行動生体認証といった技術によってAIによる偽造を検出できるようになる可能性があります。確かに、AIへの多額の投資は、AIを活用した詐欺の急増から銀行を守るのに役立つかもしれませんが、詐欺師が手口を改良する中で、一時的な救済策に過ぎないかもしれません。しかし、なぜこのような道を進むのでしょうか?AIで攻撃者を出し抜こうとするのではなく、偽造不可能な実績のある技術、つまりデジタル署名を活用しないのはなぜでしょうか?
AI対AIは終わりのない競争です。代わりに、銀行、小売業者、メディア企業、その他すべての企業に、実績のあるセキュリティ インフラストラクチャを活用して、ディープフェイクを装備した現代のハッカーを阻止するよう要求する必要があります。として 以前書いた作成できるかもしれません 偽のビデオ ブラッド・ピットの署名は完全に説得力があるが、ブラッド・ピットのデジタル署名を完全に説得力のあるものにすることはできません。従業員に、実際に見ているのが請求調整担当副アシスタントマネージャー(北東地域)なのかロボットなのかを推測させるのではなく、パスワードの代わりに 2 要素認証、カメラ起動の承認の代わりに強力な生体認証による検証可能な資格情報、暗号化されデジタル署名されたコピー、暗号化されたキーの改ざん防止ストレージ(携帯電話など)を提供する必要があります。 *注: デジタル署名は、データの真正性と整合性を強力に保証するため、偽造防止に役立つツールとなります。*
コメントは締め切りました。