グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している

画像クレジット:Yasin Ozturk / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

凸版印刷、アバターの真正性を証明する管理基盤AVATECTを開発、メタバースでのアバター不正利用やなりすまし抑止

凸版印刷、アバターの真正性を証明する管理基盤AVATECTを開発、メタバースでのアバター不正利用やなりすまし抑止

凸版印刷は2月18日、メタバースへの社会的な関心の高まりを受け、自分の分身として生成されたアバターに対し、唯一性を証明するアバター生成管理基盤「AVATECT」(アバテクト)を開発したと発表した。2月より試験提供を開始する。

凸版印刷は、写真1枚で3Dアバターを自動生成できる同社サービス「MetaCloneアバター」や、構築したメタバースの中で様々なビジネスを行う事業者などに向けて、AVATECTの試験提供を実施。複数のメタバース事業者間における同一アバターの行動分析や、それに伴うプライバシー保護の有用性の検証を経て、2022年9月までにアバター管理事業を開始し、2025年度までにメタバース関連事業として100億円の売り上げを目指す。

昨今、メタバース市場への関心が高まる一方、本人の許可や確認のない映像などによりアバターが生成されてしまう危険性や、アバターのなりすまし・不正利用がメタバース普及の大きな課題になっているという。また凸版印刷は、メタバース上でアバターの行動に対する倫理規定が進んでおらずディープフェイクのようなリスクが生じる危険性があると指摘。

凸版印刷は、メタバース普及に伴うそれらセキュリティリスクを低減させるため、アバターの出自や所有者情報を管理すると同時に、NFTや電子透かしによってアバターの唯一性・真正性を証明できるアバター生成管理基盤として、AVATECTを開発した。

アバターに関するメタ情報を管理

アバターを生成した際に「モデル情報」(氏名・身体的特徴・元となる顔写真など)、「モデルが当該アバター生成に対して許諾しているか(オプトイン)の情報」「アバター生成者(もしくは生成ソフトウェア、サービス)情報」「アバター生成日時情報」「現在のアバター利用権情報」などを、メタ情報として記録。「アバター生成管理基盤」に、アバター本体とメタ情報を紐づけて保管する。

NFT化と電子透かしで唯一性と真正性を証明

生成したアバターをNFT化することで、アバターに唯一性を示す情報を付与する。一方、NFT化だけではアバターの不正コピーや二次加工は防止できないため、AVATECTでは、目視では判別できない情報「電子透かし」を埋め込むことで、オリジナルかコピーされたものかを判別できるようにし、アバターの真正性を証明する。凸版印刷、アバターの真正性を証明する管理基盤AVATECTを開発、メタバースでのアバター不正利用やなりすまし抑止

アバターの本人認証(2022年度実装予定)

凸版印刷が提供する「本人確認アプリ」との連携により、アバターの登録やメタバースへのアバターのアップロードロード権限を、本人確認された利用者のみに限定することを実現する。またこの本人確認アプリでは、地方公共団体情報システム機構(J-LIS)が提供する公的個人認証システムと連携し、マイナンバーカードを使って本人確認を行う。

将来的には、メタバース内で提供される会員入会申込みやオンライン決済のような本人確認が必要なサービスにおいて、アバターと本人確認された利用者を紐づけることで、サービス事業者が本人確認書類の確認プロセスを経ずにサービス提供を行えるようにする。

【コラム】ソーシャルメディアとマッチングアプリが抱える深刻な身元確認問題

ソーシャルメディアとマッチングアプリはそろそろ、自分たちが蒔いてきた種を刈り取り、各プラットフォームから詐欺、偽装、デマ情報を一掃すべきだ。

その誕生当初、ソーシャルメディアやマッチングアプリは、インターネットの世界の小さな一角を占めるにすぎず、ユーザーはわずかひと握りだった。それが今では、Facebook(フェイスブック)やTwitter(ツイッター)が、選挙に影響を及ぼしたり、ワクチン接種の促進を後押しまたは阻害したり、市場を動かしたりするほどに巨大な存在になっている。

また、何百万もの人々が「生涯の」伴侶と出会うためにTinder(ティンダー)やBumble(バンブル)などのマッチングアプリを利用しており、そのユーザー数はFacebookやTwitterに迫る勢いだ。

しかし、お祭り騒ぎはここまでだ。信用や安全よりも利益が優先されてきた結果、なりすまし犯罪やオンライン詐欺が入り込む隙が作り出されてしまった。

今や、BumbleやTinderで友達が「キャットフィッシング(なりすましロマンス詐欺)」に遭ったという話も、家族の誰かがTwitterやFacebookでオンライン詐欺の被害を受けたという話も、日常茶飯事である。悪意のあるネット犯罪者が個人情報を盗んで、あるいはなりすましの個人情報を新たに作って、詐欺を行ったり、政治的または商業的な利益のために偽情報を拡散したり、ヘイトスピーチを広めたりした、というニュースは毎日、耳に入ってくる。

ほとんどの業界では、ユーザーによるなりすまし詐欺の実害を被るのは当事者である企業だけで済む。しかし、マッチングアプリやソーシャルメディアのプラットフォームで信用が崩壊すると、その被害はユーザーと社会全体に及ぶ。そして、個人に及ぶ金銭的、心理的、時には身体的な被害は「リアルな」ものだ。

このような詐欺事件の増加を食い止める、あるいは撲滅する責任を果たしてきたのは誰だろうか。何らかの措置を講じてきたと主張するプラットフォームもあるが、各プラットフォームがその責任を果たしてこなかったことは明白だ。

Facebookは、2020年10月から12月の期間に、13億件の偽アカウントを摘発したが、これは十分というには程遠い数だ。実際のところ、ソーシャルメディアやマッチングアプリは現在、最低限の詐欺防止策しか講じていない。簡単なAIと人間のモデレーターは確かに有用だが、膨大な数のユーザーには到底追い付かない。

Facebookによると、3万5000人のモデレーターが同プラットフォームのコンテンツをチェックしているという。確かに大勢だ。しかし、概算すると1人のモデレーターが8万2000件のアカウントを担当していることになる。さらに、ディープフェイクの使用や合成ID詐欺犯罪の手法の巧妙化など、悪意のあるネット犯罪者は手口を日ごとに進化させているだけではなく、その規模も広げつづけている。経験豊富なユーザーでさえもそのような詐欺行為に引っかかってしまうほどだ。

ソーシャルメディアやマッチングアプリのプラットフォームは、この問題と闘う点で腰が思いと批判されてきた。しかし、実際のところどのように闘えるのだろうか。

なりすましロマンス詐欺の被害は深刻

次のような場面を想像するのは難しくない。マッチングアプリで誰かと出会って連絡を取り始める。その相手がいう内容や質問してくる内容に、怪しさは感じられない。その関係が「リアル」だと感じ始め、親しみを覚え始める。その感情は気づかないうちにエスカレートして、警戒心は完全に解け、危険信号に対して鈍感になり、やがて恋愛感情に発展する。

このようにして新たに出会った特別な人とあなたは、ついに直接会う計画を立てる。するとその相手は、会うために旅行するお金がないという。そこであなたはその人を信じて、愛情を込めて送金するのだが、間もなくその人からの連絡が一切途絶えてしまう。

なりすましロマンス詐欺事件の中には、被害が最小限にとどまり自然に解決するものもあるが、上記のように金銭の搾取や犯罪行為につながる事例もある。米国連邦取引委員会によると、ロマンス詐欺の被害額は2020年に過去最高の3億400万ドル(約348億8000万円)を記録したという。

しかし、これは過少に報告されている結果の数字であり、実際の被害額はこれよりはるかに大きい可能性が高く「グレーゾーン」やネット物乞いを含めるとさらに膨れ上がるだろう。それなのに、ほとんどのマッチングアプリは身元を確認する術を提供していない。Tinderなど一部の人気マッチングアプリは、身元確認機能をオプションとして提供しているが、他のマッチングアプリはその類いのものを一切提供していない。ユーザー獲得の妨げになるようなことはしたくないのだろう。

しかし、オプションとして身元確認機能を追加しても、単に上っ面をなでるような効果しかない。マッチングアプリ各社は、匿名IDや偽IDを使ったユーザーの加入を防ぐために、もっと対策を講じる必要がある。また、そのようなユーザーが社会と他ユーザーに及ぼす被害の重大さを考えると、マッチングアプリ各社が防止策を講じることを、私たちが社会として要求すべきだ。

身元確認はソーシャルメディアにおいて両刃の剣

ロマンス詐欺はなにもマッチングアプリに限ったことではない。実際のところ、ロマンス詐欺の3分の1はソーシャルメディアから始まる。しかし、ソーシャルネットワークサービスにおいて身元確認を行うべき理由は他にもたくさんある。ユーザーは、自分が本物のOprah Winfrey(オプラ・ウィンフリー)やAriana Grande(アリアナ・グランデ)のアカウントを見ているのか、それともパロディアカウントを見ているのかを知りたいと思うかもしれない。オプラ・ウィンフリーやアリアナ・グランデ本人たちも、本物のアカウントとパロディアカウントとの違いがはっきり分かるようにして欲しいと思うだろう。

別の重要な点は、ソーシャルネットワーク各社は身元確認を行うことによってネット荒らしの加害者を抑制すべきだという世論が高まっていることだ。英国では、同国のリアリティー番組人気タレントKatie Price(ケイティー・プライス)が主導して始まった「#TrackaTroll(#トロール行為を取り締まる)」運動が勢いを増している。プライスがHarvey’s Law(ハーヴェイ法)の制定を求めて英国議会に提出した嘆願書には、およそ70万人が署名した。ハーヴェイとは、匿名の加害者からひどいネット荒らしの被害を受けてきた、彼女の息子の名前だ。

しかし、ソーシャルネットワークを利用する際の身元確認を義務化することについては、強く反対する意見も多い。身元確認を行うと、家庭内暴力から逃げている人や、政治的な反対勢力を見つけ出して危害を加えようとする抑圧的な政権下の国にいる反体制派の身を危険にさらすことになる、というのが主な反対理由だ。さらに、政治やワクチンに関する偽情報を拡散しようとする多くの人々は、自身の存在を顕示して、自分の意見に耳を傾ける人を集め、自分が何者なのかを世の中に認知させたいと考えているため、身元確認を行っても彼らを抑止することはできないだろう。

現在、FacebookとTwitterは、正規アカウントに青い認証済みバッジを表示させる制度に「認証申請」プロセスを導入しているが、確実な措置というには程遠い。Twitterは最近、「認証申請」プログラムを一時的に停止させた。いくつもの偽アカウントを正規アカウントとして誤認証してしまったためだ

Facebookはもっと進んだ措置を講じてきた。かなり前から、特定の場合、例えばユーザーが自分のアカウントからロックアウトされたときなどに、身元確認を行ってきた。また、投稿されたコンテンツの性質、言葉遣い、画像に応じて、投稿者のブロック、認証の一時停止、人間のモデレーターによるレビューを行っている。

身元確認とプライバシー保護を両立させることの難しさ

悪意のあるネット犯罪者がマッチングアプリやソーシャルメディアで偽のIDを作って詐欺行為を働いたり、他の人に危害を加えたりすると、それらのプラットフォームに対する社会の信頼は損なわれ、プラットフォームの収益にも悪影響が及ぶ。ソーシャルメディアのプラットフォーム各社は今、ユーザー数を最大限まで伸ばすことと、ユーザーのプライバシーを保護することを両立させるために、あるいは、より厳しくなる規制とユーザーからの信頼失墜に直面して、日々格闘している。

盗難やハッキングによる個人情報の悪用を防ぐことは非常に重要である。もしTwitterやFacebookで誰かが自分になりすましてヘイトスピーチを拡散させたらどうなるだろう。自分はまったく関与していないのに、職を失うかもしれないし、もっと深刻な被害を受ける可能性もある。

ソーシャルメディアプラットフォーム各社は、ユーザーと自社のブランドを守るためにどのような選択をするのだろうか。これまで、プラットフォーム各社の決断は、テクノロジーよりも、ポリシーや利益の保護を中心として下されてきた。プライバシーに関する懸念に向き合って信頼を築くための対策と、利益確保の必要性とのバランスを取ることは、彼らが解決すべき戦略上の大きなジレンマだ。いずれにしても、ユーザーにとって安全な場所を作り出す義務はプラットフォーム各社にある。

ソーシャルメディアやマッチングアプリのプラットフォームは、ユーザーを詐欺や悪意のあるネット犯罪者から守るために、もっと大きな責任を担うべきだ。

編集部注:本稿の執筆者Rick Song(リック・ソング)氏はPersonaの共同設立者兼CEO。

画像クレジット:Andriy Onufriyenko / Getty Images

原文へ

(文:Rick Song、翻訳:Dragonfly)