ページが見つかりませんでした – カスペルスキー公式ブログ https://blog.kaspersky.co.jp Thu, 28 Mar 2024 08:52:21 +0000 ja hourly 1 https://wordpress.org/?v=6.4.3 https://media.kasperskydaily.com/wp-content/uploads/sites/98/2019/06/04214841/cropped-k-favicon-new-32x32.png ページが見つかりませんでした – カスペルスキー公式ブログ https://blog.kaspersky.co.jp 32 32 Appleフェア:iOSに代替アプリストアが参入 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/ios-alternative-app-stores-and-browsers-security/36089/ Thu, 28 Mar 2024 08:39:09 +0000 https://blog.kaspersky.co.jp/?p=36089 iOSは、その誕生から17年間という長い間、侵入不可能な要塞のようなものでした。ユーザーがアクセスできるのは、Appleが許可したアプリや機能だけでした。しかし現在、米国企業は市場と規制の圧力に屈せざるを得なくなっています。EUのデジタル市場法(DMA)が施行された3月6日の時点で、新しいiOSのバージョン(17.4)では、代替のマーケットプレイスやサードパーティのブラウザーをiPhoneにインストールできるようになりました。ただしこれは、EUのユーザーに限定されています。同時に、ブラウザーで動作しホーム画面にアイコンとして追加されるプログレッシブウェブアプリ(PWA)のような、一部のおなじみの機能がなくなります。このことで、ユーザーが新しくできるようになることは何でしょうか?また、どんな脅威が発生するようになるでしょうか?

代替アプリストアのインストール方法

公正な競争を確保する目的で、規制当局はAppleに対し、iPhoneでサードパーティ製アプリのマーケットプレイスを許可するよう要求しました。ユーザーは、代替アプリストアのWebサイトにアクセスし、インストール(つまり、アプリストアのアプリのインストール)をタップし、意思を明示的に確認した後、自分のデバイスにアプリストアのアプリをインストールすることができるようになります。このアプリは、AppleのApp Storeの代わりに使用することも、併用することもできます。

これらの代替アプリストアのコンテンツや、アプリストアを開発したいと考えている層についてはまだ不明です。重要なのは、これらのアプリストアはAppleのすべてのルールを守る必要がないため、これまでAppleによって制限されていたサービスや技術(特に、App Store以外での支払い)なども利用可能になることが期待されるということです。Epic Gamesは、Spotifyと並ぶこの訴訟の主要なロビイストであり、おそらくアプリマーケットプレイスの開設を望んでいることでしょう。もっとも、Apple対Epic Gamesのせめぎ合いの最新のエピソードを見る限りでは、これはずっと先のことになりそうです。

重要なのは、Appleが無秩序な状態を防ごうとしていることです。アプリのマーケットプレイスを登録するには、開発者は審査を通過し、100万ユーロのスタンドバイ信用状を提出する必要があります。同一のアプリの異なるバージョンをApp Storeと代替ストアの両方にアップロードすることは禁止されています。開発者がどのストアでもアプリを公開したい場合は、同一のものでなければなりません。最後に、すべてのアプリはAppleの「公証」を取得する必要があります。このプロセスとmacOSの公証の同一性が証明された場合、Appleは手動でレビューするのではなく、マルウェアの自動スキャンを実行し、特定の技術的推奨事項への準拠をチェックすることになるでしょう。

セキュリティへの影響:iOSのマルウェアの数の増加が予想されます。Appleはサードパーティ製アプリのインストールを部分的に規制し続けるでしょう。Androidのように、設定のボタンをタップして、不審なWebサイトから未知のアプリをインストールすることはできません。とはいえ、クパチーノのエンジニアがサードパーティ製アプリのマーケットプレイスのために設計した自動スキャンプロセスは、App Storeのモデレーターによるレビューに比べればすり抜けるのは簡単でしょう。つまり、iOS上のマルウェアの量と種類が増える可能性が高くなるということです。

明らかなマルウェア以外にも、詐欺的なコンテンツや支払い方法が不透明なアプリの出現による高いリスクを、Appleが懸念しているのは当然のことと言えます。こうした問題は、自動スキャンで検知できる類のものではありません。

残念なことに、この新しいルールは、AndroidスタイルのOSレベルのウイルス対策ソリューションやセキュリティソリューションをiOSに導入することには何の役にも立ちません、というのも、後者にはまだそのようなことに必要な機能が欠けているからです。したがって、サードパーティのアプリのインストールや、そこからのダウンロードの前に、慎重に検討することをお勧めします。大企業が作成したマーケットプレイスをインストールして、数千万回ダウンロードされている有名なゲームを入手するのはおそらく安全でしょう。しかし、以前Androidのユーザーに向けてお伝えした常に用心するようにというアドバイスは、現在、ヨーロッパのiOSユーザーにも当てはまります。ここで思い出してほしいことは、Google Playからのマルウェアのダウンロード数は、昨年6億件を超えたという事実です。

プライバシーへの影響:Appleによりますと、アプリ内トラッキングの制限が、サードパーティのストアからダウンロードされたアプリに適用されるとのことです。しかし、開発者がアプリをApp Storeにアップロードする前に記入するアプリのプライバシーに関する詳細は、他のアプリストアではあまり詳細でなかったり、存在しなかったりする場合があります。

ペアレンタルコントロールへの影響。スクリーンタイムの制限はどのアプリでも引き続き機能しますが、代替のマーケットプレイスからダウンロードされたアプリでは、ゲーム内や家族による購入の制限、および保護者による確認が必要なアプリの購入リクエストが適切に機能しなかったり、存在しなかったりする可能性があります。

サードパーティのブラウザー

iOSの代替ブラウザーは目新しいものではありませんが、DMAの施行前は、iOSでWebコンテンツを表示するための唯一の選択肢であったAppleのWebKitエンジンをラップするスキンにすぎませんでした。Appleは今後、他のエンジンの使用を許可する予定ですが、それは特別な認証手続きを通過した後に限定されます。実のところ、他のプラットフォームにおけるブラウザーエンジンの状況も決して良いとは言えません。ほぼすべての「代替」ブラウザーは、Googleが管理するChromiumコード(Blinkエンジン)をベースにしています。Firefoxで使用するMozillaのGeckoは注目すべき市場シェアを持っていますが、消費者の選択肢としてはそれくらいしかありません。

GoogleもMozillaもiOSでBlinkとGeckoをローンチする準備をしていることが確認されているので、EUのユーザーが本格的なFirefoxとChromeブラウザーを目にする日も近いかもしれません。EUのユーザーは、Safariを初めて開く時、または任意のアプリからWebページを開く時、既定のブラウザーを選択できるようになります。

セキュリティへの影響:ある部分ではセキュリティが向上し、別の部分では悪化するという両面的な影響が予想されます。既知のWebKitの問題に加えて、FirefoxとChromeの両方にも欠陥が潜在する可能性があり、これらの欠陥がそれぞれの開発者によってどれだけ迅速に修正されるかはまだわかりません。しかし、脆弱性修正プログラムの適用に関しては、両者とも確固たる定評があります。一方、WebKitを含むAppleソフトウェアのゼロデイ脆弱性は常に、スパイウェア(Pegasusのような商用スパイウェア、Triangulationのような標的型スパイウェアの両方)を使用した、iPhoneへの主要な攻撃経路でした。現在、これらの攻撃の背後にいる開発者は、被害者がSafari/WebKitブラウザーを使用していることを確実に知っています。今後は、ブラウザーのあらゆる選択肢を考慮する必要があるため、これらの攻撃の設計と実行はより困難になるでしょう。

プライバシーへの影響:これらは、選択した代替ブラウザーによって異なります。WindowsとmacOSに対応するブラウザーを判断基準とするならば、Firefoxへの切り替えにより、プライバシーのレベルが向上するか、Safariと同等のレベルに維持される可能性があります。一方で、Chromeを使用すると、プライバシーのレベルが低下する場合があり、これらのブラウザーのトラッキング防止ツールやデフォルト設定でもこのことが指摘されています。

ペアレンタルコントロールへの影響:代替ブラウザーが望ましくないコンテンツから子どもを保護する方法はまだ不明ですが、コントロールの設定は技術的に難しくなるようです。したがって、その効果には疑問が残ります。

目立つ損失

欧州のユーザーは、DMAによって得をすることもあれば損をすることもあります。後者に関して言えば、代替ブラウザーに必要な機能を実装するために、AppleはEUにおいてプログレッシブWebアプリのサポートを完全に終了しようとしています。これらのアプリは基本的にはWebページですが、正式なアプリと区別するのは困難です。デバイスにコンテンツを保存したり、通知を送信したり、その他の動作が非常に似ているためです。オンラインストア、雑誌、レストランなどがアプリとして通常選択するのは、PWAです。iPhoneのホーム画面に簡単に追加できるこれらのミニアプリは、iOSの次回のアップデート後は、EUでは機能しなくなります。PWAとしてアプリをパッケージ化しているすべての企業が、この変化に適応するのに十分な時間があるとは限りません。

EU外でのサードパーティ製ブラウザーとアプリのマーケットプレイスの可用性

Appleは、この新機能が法的に義務付けられている地域、つまりEU内でのみ利用可能とするために、多大な労力を費やしています。EU加盟27か国のいずれかで登録されているユーザーのみが、ここで説明されているiOS17.4のアップデートを入手できます。他国の居住者はこの変更の影響を受けないため、オランダのVPNをオンにしたり、休暇でキプロスに行ったりするだけでは、ここでお話ししたiOSアップデートを入手することはできません。さらに、EUの居住者であっても、EU圏内から30日以上離れると、EU圏内に戻るまで、サードパーティ製アプリのマーケットプレイスからアプリのアップデートにアクセスできなくなります

]]>
full large medium thumbnail
Kasperskyのソリューションが独立系機関のテストで記録的な数のアワードを受賞 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/how-to-choose-best-cybersecurity-product/36086/ Thu, 28 Mar 2024 04:56:54 +0000 https://blog.kaspersky.co.jp/?p=36086 適切なサイバーセキュリティソリューションを選ぶのは容易ではありません。友人の意見や口コミは、UI/UXやユーザビリティの評価には役立つでしょう。しかし実際製品がどの程度の保護を実現できるかまでは確実に判断することはできません。高度な脅威に対する保護の品質についての有益な情報は何も得られません。

セキュリティソリューションの品質について、最もバランスの取れた客観的な情報源となるのは、独立した専門のテスト機関やメディアによる調査結果です。重要なので繰り返しますが、「独立した」調査です。つまり、評価対象となる製品のいかなるベンダーとも、つながりがあってはいけないのです。

これまで、当社の製品とサービスに対する第三者機関による独立したテストを重要視してきました。このような当社の製品に対するテスト結果や受賞した賞については、当社のWebサイトの専用のページ「トップ3メトリックス」で詳しくご覧いただけます。

2023年は、当社にとって記録的な年となりました。当社のソリューションに関する100回のテストのうち、93回のテストで第1位、トップ3に入賞した数は94回に上りました。また、2013年以降、当社製品は独立した専門家によって合計927回テストされ、第1位を680回受賞しました(トップ3入賞は779回)。これは、すべてのセキュリティソリューションベンダーと比較しても、最も多くのテスト数を受け、最も多くの賞を獲得しています。

では、もう少し詳しく説明しましょう。

代表的なベンダーが参加した第三者機関によるテスト結果。Kasperskyは絶対的なリードを誇っています:927回のテストで、1位入賞は680回です。 出典

最も重要なアワード

昨年の受賞実績は枚挙にいとまがないため、その中から特に注目すべきものをいくつかご紹介します。

テストを実施した組織について

サイバーセキュリティテストの世界に馴染みのない人のために、テストを実施した主要な組織に関する概要を説明します。

  • AV-Comparativesは、24年以上にわたってセキュリティ製品のテストを実施してきたオーストリアのテスト機関です。当初この組織は、インスブルック大学の学生プロジェクトとして始まりましたが、長い年月を経て、サイバーセキュリティにおいて最も影響力のある研究センターの1つにまで成長しました。
  • AV-Test GmbHは、ドイツの独立した情報セキュリティ研究機関です。同社は15年以上にわたり、サイバーセキュリティに関するアドバイスを業界団体、企業、政府機関に提供し続けています。
  • SE Labsは、英国の独立系企業です。セキュリティ評価に対する総合的な取り組みに基づいて、次世代製品のテストを開発しています。

主要な機関以外でのテスト

もちろん、本格的なテスト機関以外にも、セキュリティ製品を評価する専用メディアやブロガーは存在します。彼らの調査はすべての側面を細かく調査しているというわけではありませんが、多くの人の注目を集めるという点では、YouTubeクリエーターや技術系の情報発信者に勝るものはありません。

ご興味がある場合は、英国を拠点とするYouTubeクリエーターが運営するチャンネル、The PC Security Channelが実施するテスト(123)をお勧めします。このチャンネルの特徴は、テクノロジーに精通している人たちが多くチャンネル登録をしている点です。彼らは投稿されたコンテンツに批判的な目を向け、それぞれの意見も率直にコメントします。

]]>
full large medium thumbnail
ホームセキュリティのセキュリティ | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/protecting-from-wifi-camera-jamming-and-other-burglar-tricks/36070/ Tue, 26 Mar 2024 03:31:11 +0000 https://blog.kaspersky.co.jp/?p=36070 最近、アメリカ・ミネソタ州ミネアポリスの警察署は、驚くべき調査報告を発表しました。9件のアパート窃盗事件を捜査した後、警察は、窃盗犯がアパートのWi-Fi接続を妨害していたことを発見したというのです。その理由は、家のスマート監視カメラが所有者に危険を知らせたり、動画をクラウドに送信したりするのを防ぐことが目的でした。このように高度な技術を使った窃盗は、本当に可能なのでしょうか?スマートホームのセキュリティシステムを攻撃する方法は他にもあるのでしょうか?今ブログではこういった疑問についてお答えします。

無防備な防御

スマートな防犯デバイスは、たとえそれがロックであれ、カメラであれ、アラームであれ、理論的には、あらゆる種類の敵対的行為に対して完全なセキュリティを備えていなければなりません。侵入を企む攻撃者が、それらの機器を意図的に攻撃する可能性があるからです。残念ながら、実際メーカーはいつも慎重に製品を設計しているわけではありません。メーカーが犯すミスはいくつかあります。スマートロックの場合、機械部分の信頼性が十分でないことはよくあります。カメラについては、ビデオストリームを一般公開の形式で転送することで、第三者による閲覧や妨害すらも可能にしてしまうケースもあります。またアラームは、コントロールチャネルの保護が十分でない場合があります。私たちは、その他のスマートホームの脆弱性について以前投稿していますが、それ以外にも前述したような弱点があります。

さらに懸念されるのは、これらのデバイスの多くが、電力供給の停止と通信の遮断という2つの実に単純な攻撃に対して脆弱であることです。

家庭用Wi-Fiの妨害方法は、電波の周波数帯域全体を妨害する粗雑な方法から、特定のネットワークやWi-Fiクライアントに特化した攻撃まで、多岐にわたります。電波を妨害する以外の方法もあります。家庭内のインターネットは通常、光ファイバー、電話、ツイストペア(イーサネット)、同軸テレビの4つのケーブルのうちいずれかを介して接続されています。これらのケーブルを切断するだけで、接続を確実に中断させることができます。

セキュリティシステム全体がバックアップ電源のない電力系統に依存している場合、集合住宅への電力供給を遮断してしまいさえすれば、スマート保護機能を簡単に停止させることができます。

保護パフォーマンスを向上させる方法

上述の問題への対策があります。どれも、100%の防御は保証できませんが、空き巣に入られるリスクは大幅に減ることでしょう。

適切な設備の選択。上述のすべての問題は、セキュリティシステムの購入前に考慮する必要があります。そうしておけば、セキュリティを強化するために他にどうすべきかを計画することができます。

  • 自立電源
  • Wi-Fiなしで情報を送信できる機能
  • 適切なレベルの機械保護
  • 高度なサイバーセキュリティの基準にメーカーが準拠していること

最初の2つの要件は、Power over Ethernet(PoE)技術を使用するカメラが満たしています。データと電力の両方が1本のケーブルで伝送されます。必要なのは、PoE対応イーサネットルーター/ハブまたは個別のPoEコンバーターを購入し、無停電電源装置(UPS)を使用して電力系統に接続することだけです。これにより、家庭内のインターネット、カメラやセンサーの機能、ルーターへの接続が停電やWi-Fiの妨害に影響されなくなります。

宅内にイーサネットケーブルを張り巡らせることが不向きな場合は、自立電源(バッテリー)付きのカメラや、最悪の場合、大容量のモバイルバッテリー経由で接続されたカメラの使用も検討しましょう。これで停電に対処できますが、攻撃者がWi-Fiを妨害するという問題は残ります。Wi-Fiの妨害を防ぐために、3G/4G/5Gで動作するデバイスを選択することもできます。通常、これらのカメラは集合住宅向けではなく一戸建て向けに設計されているため、防水ケーシング、長距離赤外線照明などの「屋外」向け機能を備えていることが多いことは注目に値します。

多くのカメラにはSDカードへの録画機能が付いていますが、事故発生時の迅速な対応にはあまり役立ちません。

機械による十分なセキュリティレベルは、主にロックにとって重要ですが、侵入者が直接アクセスできるカメラ、ドアベル、センサーにも関係します。購入前にセキュリティのレベルを評価するのは難しいですが、侵入行為や破壊行為への耐性テストの結果や顧客のレビューは、インターネットで検索できます。

特定のカメラやドアベルのサイバーセキュリティレベルを評価するのも簡単ではありません。メーカーのWebサイトや、技術サポートやアップデートのリリースに関する評判を注意深く調べる必要があります。このトピックに関しては、以前にいくつかの役立つヒントを紹介しています。

冗長化する。既に何らかの設備を購入している場合でも、追加の対策を講じることで、ホームセキュリティを向上させることができます。インターネットチャネルに冗長性を持たせることを強く推奨します。状況に応じて、4Gモデムを使用するか、2つ目の有線接続と2つ目のルーターを使用して、バックアップチャネルを起動することができます。主な難点は、メインのチャネルがダウンした時に接続が自動的にバックアップチャネルに切り替わるように、ルーターとその他の設備を設定することです。一部のルーターではこれは難しくありません(この機能はバックアップチャネルと呼ばれます)が、それができないルーターも存在します。もちろん、ルーターが2台ある場合は、両方のルーターにUPS経由での電力供給が必要となります。まだ無停電電源を持っていない場合は、すぐに買っておくとよいでしょう。

インターネットチャネルの冗長化とルーターレベルでの自動切り替えが難しい場合は、比較的簡単な代替方法として、冗長化用のカメラを設置することができます。1台はメインのインターネットチャネルで動作させて、もう1台はバックアップチャネルで動作させます。

サイバー攻撃からの保護。セキュリティデバイスへの標的型攻撃を防ぐには、サイバーセキュリティの主要なルールに従うことが重要です。このことは、こちらの記事で何度も述べた通りです。ルーターを保護し、強力なWi-Fiパスワードを選択し、スマートデバイスとルーターのファームウェアを定期的に更新しましょう。そして、総合的なセキュリティソリューションを使用して、ホームネットワーク内のすべてのパソコン、スマホ、スマートデバイスを保護しましょう。

]]>
full large medium thumbnail
豚の屠殺詐欺:大規模な仮想通貨詐欺 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/pig-butchering-crypto-investment-scam/36039/ Tue, 19 Mar 2024 22:53:27 +0000 https://blog.kaspersky.co.jp/?p=36039 本ブログでは、広く知られるようになってきた「豚の屠殺」詐欺について説明します。この手口は収益性が高いため、詐欺師の間で急速に普及しており、被害者の数も増え続けています。

「豚の屠殺」詐欺とは

豚の屠殺は詐欺の一種であり、多くの場合投資詐欺(多くの場合は暗号通貨)とロマンス詐欺の両方に関連します。

豚が屠殺されるまで長期間飼育されるのと同じように、通常詐欺師は、数週間から数か月にわたってじっくりを関係を築きます。被害者の好きなことやちょっとしたミスに付け込みながら信用させます。この点において、豚の屠殺詐欺は他の詐欺スキームと大きく異なります。他のタイプの詐欺師はせっかちな傾向があり、手っ取り早く利益を得ようとします。

起:突然のメッセージと気が合う他人

すべては、メッセージアプリやSNS、または ランダムなSMSメッセージから始まります。詐欺師は、送り先を間違えてメッセージを送信したふりをするか、遠く離れた共通の知人がいるなどと嘘を言って標的に近づきます。このような情報は、被害者のSNSから簡単に知ることができます。被害者が詐欺師に「番号を間違えたのでは」などと返答すると、詐欺師は丁寧に謝罪し、他愛もない会話を始めようとします。メッセージのやり取りを繰り返すごとに、被害者と詐欺師の関係は次第に打ち解けていきます。

ここで注意すべきは、詐欺師はしばし被害者の地位や個人の特徴に基づいて意図的に被害者を選択しているという点です。つまり、そこそこ裕福ではあるが、フレンドリーで見知らぬ人と会話することに抵抗のない、孤独で、弱い立場にある人を探しているのです。この段階で詐欺師が目標とするのは、被害者を友好的な関係を、理想的にはロマンチックな関係を築くことです。

このようにして、詐欺師は被害者の信用を得て、警戒心を取り除いていきます。前述したように、この種の詐欺師は相手を急かすようなことはせず、コミュニケーションに多くの時間を費やします。これはネット上の詐欺師としては異例のことです。そのため、被害者が最初に抱いていた疑いも、しばらくすると消えていく傾向があります。

承:儲かる投資話をもちかける

遅かれ早かれ、詐欺師は会話を金銭的な話題に誘導する方法を見つけます。ここで具体的にとられるアプローチはさまざまですが、基本的な考え方として、詐欺師は儲かる投資話を共有し、被害者も投資を検討するよう仕向けます。

株式、債券、先物、オプションなど、昔からある投資話の可能性もありますが、最近では、いくつかの「有望な」暗号通貨への投資と関連付けられることが多くなりました。暗号通貨は全体的に複雑で不透明なので、資金移動の容易さと相まって、このような詐欺にはぴったりです。

この段階で、被害者は何かがおかしいと疑い始めるかもしれません。しかし詐欺師にはそういった警戒心を取り除く手段があります。自分やその関係者に個人的にお金を送金する必要はないと説明し、大切な「豚」を安心させます。被害者が行う必要があるのは、取引する(偽の)プラットフォームに口座を作成し、そこにいくらかのお金を入金して、残高がどのように「増加」するかを確認することだけなのです。

転:驚異的な利益と新たな入金

豚の屠殺詐欺スキームの重要なポイントは、詐欺師があらゆる段階で慎重に介入し、被害者が事態をコントロールできているという錯覚から覚めないようにする点です。被害者は取引プラットフォーム上に自らアカウントを作成し、そこで何を取引するかを自ら選択できます。詐欺師はプロセス全体をより迅速かつ簡単にして、言うまでもなくできるだけ収益を高めるために、有益なアドバイスを提供するだけです。

そんな中詐欺師からの取引のヒントは「有益」であることが判明します。被害者はすぐに取引プラットフォームで初めての利益を確定し、興奮して、さらに大きな利益を得るためにどんどん入金し始めます。

結(クライマックス):詐欺師は金を持って消える

この結末は… もちろん遅かれ早かれ、詐欺師は突然コミュニケーションを断ちます。通常、そのタイミングは、アカウントの残高が十分に蓄積された頃です。あるいは、被害者がプラットフォームからお金を引き出そうとする瞬間まで待ってから姿を消すこともあります。

そのとき、被害者は真実を知ることになります。取引していたプラットフォームは偽物であり、信じられないほどの利益はすべて雲散霧消してしまったのです。本物のお金は長い間未知の口座に送られていました。この段階で、詐欺師は被害者との通信をすべて遮断し、詐欺に使った口座を閉鎖して、行方をくらまているため、被害者はどうすることもできません。

被害者は、プラットフォームで投資したすべての資産を失います。通常詐欺師は、数万ドルから数十万ドル、場合によっては数百万ドルを持ち去ることに成功しています。

東南アジアの詐欺農場

前述の説明からすでにお気づきかと思いますが、この手口には一般的な詐欺とは大きな違いがいくつかあります。まず、犯罪者は十分な準備をして標的に近づきます。彼らは標的を欺くための効果的なツールを持っています。そして第二に、彼らは急がず、長い時間をかけて一人の標的に働きかける準備ができており、徐々に標的を貶めていきます。第三に、被害額は相当な金額になります。つまり、詐欺師がかけた時間と労力が最終的には報われるということです。

この詐欺が成功する理由は、ほとんどの場合、豚の屠殺詐欺の背後にいるのが個人の詐欺師ではなく、大規模な犯罪グループであることです。これらの組織は、詐欺のために大規模な「農場」を運営しており、ほとんどの場合、東南アジアの十分に発展していない国に拠点を置いています。このような農場はラオスやフィリピンにもありますが、ほとんどの農場はカンボジアや、内戦が続いているミャンマーにあります。

豚の屠殺詐欺を実行している最大規模の詐欺農場の1つ、KKパーク。この農場はミャンマーのタイとの国境近くにあり、2,000人以上が雇用されている。出典

このように彼らの事業は実に巨大なもので、たとえば、KKパークと呼ばれる最大規模の詐欺農場に関する昨年の報告書によりますと、この農場では2,000人以上が働いているとされています。Wikipediaにもこれに関するページが作成されています。こういった農場はさらに拡大し続け、次々に新しい農場も開設されています。

このような詐欺農場は、より正確には「強制労働収容所」と呼ぶべきであり、これがおそらくこの手口の最も悲惨な点です。というのは、豚の屠殺詐欺の下っ端として末端的な役割を担う人、つまり被害者と直接コミュニケーションをとる人たちの多くは、自らの意志に反して詐欺に関与しているからです。

詐欺グループは、高度なスキルを持ち、十分な教育を受け、ネット上でのコミュニケーション能力に長けた多言語を話す人材を必要とします。そのため通常は、他国でリクルート活動を行います。労働者は、コールセンターのオペレーター、SMMスペシャリスト、翻訳者、ITスペシャリストの募集だと思い込み応募し、高収入の約束に惹かれて出稼ぎにやってきます。

KKIIファームでの新しい建物の建設

詐欺農場は絶えず拡大している。2023年7月1日に撮影されたこの写真は、KKパークに新設されたKKIIの建設現場を示している。おそらく、すでに完成しているだろう。出典

通常、詐欺農場の新たな労働者はまず隣国のタイに行き、そこからミャンマーやカンボジアに連れて行かれます。そこで彼らは人口密集地から遠く離れたキャンプに移送され、身分証明などの重要な書類を没収されます。そして、実質的に奴隷になります。食べる物のためだけに1日12〜16時間働かされ、時には暴力を受け、他の詐欺師に労働者として売り飛ばされることもあります。

この問題は極めて深刻です。UCHCR(国連人権高等弁務官事務所)が昨年発表した報告書には、信頼できる情報源からの引用として、ミャンマーでは少なくとも12万人が詐欺農場で雇用されており、カンボジアでは約10万人が雇用されているとしています。

豚の屠殺詐欺から身を守る方法

豚の屠殺詐欺は世界的な問題であり、詐欺師はさまざまな国の国民を標的としているため、被害者の損失総額を計算することは極めて困難です。さらに、自分が被害者になったことを報告しない人もいます。しかし、大まかに見積もると、豚の屠殺詐欺の産業規模は数十億ドルに達すると考えられます。これは非常に儲かるビジネスであるため、問題が自然に解決することを期待しても無駄です。

私たちがアドバイスできることは次のとおりです。

  • たとえ相手と長い間コミュニケーションをとっており、詐欺師ではないようであっても、オンラインで偶然に知り合った人には注意してください。
  • たとえ高い収益率であるように見えても、不透明な投資スキームに大金をつぎ込むのはやめましょう。
  • 特に、暗号通貨に関する投資に不用意に投資してはいけません。暗号通貨取引の特殊性により、残念ながら非常にたくさんの詐欺師が活動しています。さらに、すべてのブロックチェーン取引は元に戻すことができず、保険が適用されないことにも注意することが重要です。
  • 投資の黄金律を忘れないでください。潜在的な利益が高ければ高いほど、リスクも高くなります。危険なスキームには、失うことができない資金を決して投資しないでください。
  • この詐欺スキームについて、家族や親しい人に知らせましょう。これにより、経済的損失だけでなく、このような深刻な詐欺によって生じる避けられない心理的トラウマからも家族を守ることができるかもしれません。
]]>
full large medium thumbnail
Google のロケーション履歴がオフラインで保存されるように…ならないかもしれない | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/google-location-history-security-2024/36014/ Tue, 19 Mar 2024 02:00:37 +0000 https://blog.kaspersky.co.jp/?p=36014 Googleは、様々な手法を使ってユーザーの位置情報を収集しているとして長く批判されてきました。その中でも特に注意すべき点は、Google がすべての Android 端末の位置情報を、さらにはAppleの端末も「ある程度」追跡することが可能というものです。過去Googleは、ロケーション履歴をオフにしていたとしても、実際ユーザーの位置情報を保存しており、そのデータをターゲティング広告に使用したり、また捜査中の法執行機関にユーザーの位置情報を提供することもありました。そして最近Googleは、ロケーション履歴をクラウドではなく、個々のデバイスのみに保存すると約束しました。果たして私たちはそれを信じるべきでしょうか?

ロケーション履歴の何が問題なのか

ロケーション履歴を使用すると、ユーザーが訪れた場所とその日時を簡単に確認することができます。2 年前のお休み中に訪れたビーチやレストランの名前を思い出したり、夫が仕事帰りによく寄る店の住所を調べたり、行ったことのあるバーから新しいおすすめのバーの情報を得たり、お祝い用の花束を届けてくれた花屋を探したりと、あらゆることにこの情報を使用することができます。ロケーション履歴のこういった利点とともに、欠点についてもたびたびメディアでも取り上げられています。そのため、やましいことが何もない人であっても、その機能を完全にオフにしたいと思う人が多いのは当然のことでしょう。

残念なことに、Googleがロケーション履歴の機能を悪用したとして、たびたび公に指摘されています。ユーザーに対しては無効にできるとしていても、以前ロケーション履歴が[ウェブとアプリのアクティビティ]で収集されていました。このことは一連の訴訟に発展し、Googleは敗訴しています。同社は、2023 年にはある訴訟で 9,300 万ドルの支払いを、その前の年には別の訴訟で 3 億 9,200 万ドルの支払いを命じられました。これらの罰金は数千億ドルの収益を持つ企業にとってはほんの些細なものです。しかし、裁判所が Googleにロケーション情報の追跡手法の見直しを命じたことは、せめてもの成果と言えるでしょう。

法的な圧力と世論の圧力が相まって、同社は 2023年末に大幅な変更を発表しました。Google によりますと、今後はユーザーのデバイスのみでロケーション履歴が収集され、保存されることになるというのです。しかし、それでこの機能の安全性は高まるのでしょうか?

2024 年にロケーション履歴はどのように機能するのか

まず、お使いのデバイスでGoogle Mapのアプリがアップデートされていることを確認してください。Googleではよくあることですが、数十億台の Androidデバイスは段階的に更新され、また比較的新しい OS バージョンのみが更新の対象となります。見分けるには、以下のようなアラートが表示されるかどうか確認してください。表示されなければ、デバイスはアップデートをして​​いない可能性があり、ロケーション履歴を有効にするとデータが Google のサーバーに保存されています。

ロケーション履歴がデバイスに保存されることについての Google のアラートが表示されない限り、ロケーション履歴が Google のサーバーに保存され続ける可能性があります

ロケーション履歴がデバイスに保存されることについての Google のアラートが表示されない限り、ロケーション履歴が Google のサーバーに保存され続ける可能性があります

ただし、ロケーション履歴が自分のデバイスのみに保存されるようになった場合は、Google マップに「場所」を集中管理するオプションが提示されます。地図上のコーヒーショップなどの地点を選択し、その説明を開くと、過去にその場所を訪れたすべての回数や、地図上のその場所のすべての検索などが表示されます。位置情報カードを 1 回タップすると、その場所に関連付けられたすべてのアクティビティを削除できます。

Google は、既定ではそれぞれの場所の履歴が 3か月間保存され、その後削除されると発表しています。この設定を変更したり、履歴を無効にしたりするには、地図上の現在地を示す青い点をタップするだけです。その後、表示されたウィンドウでロケーション履歴をオフにします。

ロケーション履歴の構成と無効化のオプション

アクティビティ管理画面とロケーション履歴無効化のオプション

オフラインのロケーション履歴の明らかな欠点は、ユーザーが他のデバイスからアクセスできないことです。回避策として、Google は暗号化されたバックアップをサーバーに保存することを提案しています。

ここでは、ロケーション履歴の新しい実装を Google が説明した通りに紹介していることを覚えておいてください。この新しいパターンが実際にどのように機能するかを詳細に分析すると、現時点では Google の開発者以外誰も知らない落とし穴や注意点が見つかるかもしれません。

この更新によりどのような脅威を回避できるのか

新しい保存方法により、位置情報のプライバシーは改善されますが、既存の問題をすべて解決する万能の解決策とは言えません。では、さまざまな脅威のシナリオを想定した場合、どのような影響があるのでしょうか?

  • 広告をカスタマイズするためのユーザーのトラッキング。Google は、引き続き匿名化および一般化された形式でユーザーが訪問した場所に関するデータを収集できます。現在または過去の場所にリンクされた広告は、その広告またはすべてのターゲット広告を完全に無効にしない限り、引き続き表示されます。また位置情報を追跡しているのは Google だけではないことに注意してください。他のアプリやサービスも同様にこのデータを悪用したとして有罪となっています。例1例2例3を参照してください。
  • 悪質なハッカーとサイバースパイ。これらの悪意のあるグループは通常、商用スパイウェア(ストーカーウェア)または悪意のあるインプラントを使用するため、Google のロケーション履歴への変更はほとんど影響しません。
  • 嫉妬深いパートナーや噂話が好きな親戚。Google アカウントにサインインしているパソコンを使用して現在地を追跡するのは難しくなります。しかし、誰かがあなたのスマホをロックが解除されている間にこっそり盗み見たり、ストーカーウェアなどの商用スパイウェアを密かにインストールしたりする可能性があります。したがって、この問題に対処するには、Google マップの更新ではなく、モバイル用スパイウェアからスマホを保護するための一般的な対策が重要です。
  • 法執行機関。警察は Google に問い合わせるだけでなく、より容易かつ迅速な手段として、通信会社から位置情報データを要求したり、監視カメラの映像から位置情報を推定したりすることもできるため、この点は大きく変わらないとみられています。

結果的に今回のアップデートは、ユーザーのプライバシー保護にはあまり役に立たないと言えます。

位置情報を効果的に保護する方法

現時点で位置情報の追跡を阻止したい場合は、かなり思い切った対策を選択するしかありません。次に、現実的な対策から極端なものの順に挙げていきます。

  • スマホやタブレットを含むすべての機器で包括的なセキュリティ機能を使用します。これにより、ストーカーウェアを含むマルウェアに感染する可能性が低くなります。
  • Google の[ロケーション履歴]と[ウェブとアプリのアクティビティ]を[オフ]にして、ナビゲーションアプリ以外のアプリに位置情報の保存を許可しないようにし、パーソナライズされた広告をオフにして、広告をフィルタリングする DNS サービスを使用します。
  • スマホのすべてのジオトラッキング機能(GPS や Google位置情報サービスなど)をオフにします。
  • 特に重要な旅行の場合は、1 ~ 2 時間機内モードを有効にするか、スマホの電源をオフにします。
  • 最新のスマホを捨てて、最も基本的なガラケーに変えます。
  • 最終的に、種類を問わず電話を持ち歩くのをやめます。
  • 洞窟の中などで、100% 自給自足して生活します。
]]>
full large medium thumbnail
マーケティング部門に対する5種類のサイバー攻撃 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/cyberattacks-on-your-marketing/36003/ Thu, 14 Mar 2024 02:47:01 +0000 https://blog.kaspersky.co.jp/?p=36003 企業へのサイバー攻撃と言えば通常、金融データ、知的財産、個人データ、ITインフラの4つの側面に焦点が当てられます。しかし、メール配信、広告プラットフォーム、SNS、プロモーションサイトなど、広報やマーケティングの部署が管理する企業資産もまた、サイバー攻撃の標的であることを忘れてはなりません。金銭的な見返りを求めるサイバー犯罪者にとって、あまり魅力的でないターゲットのように見えるかもしれません。しかしこれらは実は、サイバー犯罪者自身の「マーケティング活動」に役立つものなのです。

マルバタイジング

「マルバタイジング」とは、不正なサイトへの誘導やマルウェアに感染させることを目的とした悪質なWeb広告を意味します。サイバー犯罪者はここ数年、合法的な有料広告を積極的に使用しています。これには、情報セキュリティのエキスパートでさえも非常に驚いています。彼らは何らかの形で、バナー広告や検索プレースメントの料金を支払い、企業の販売促進ツールを採用しています。これまでに、多くのマルバタイジングの事例が確認されています。通常、サイバー犯罪者は、人気なアプリの偽Webサイトや有名ブランドの偽のプロモーションキャンペーンなど、幅広いオーディエンスを標的とした詐欺的な手法を駆使して広告を掲載します。彼ら自身で広告アカウントを作成し、広告費を支払うこともありますが、この方法では支払の詳細などあまりにも多くの痕跡が残ってしまいます。そのため、彼らにとってより好都合な別の方法が使用されています。企業の広告アカウントのログイン情報を盗み、ハッキングし、それを使用して自分たちのサイトを宣伝するのです。これは、サイバー犯罪者にとって二重の見返りがあります。余分な痕跡を残さずにすむこと、そして他人のお金を使えるということです。被害に遭った企業は、広告アカウントが台無しにされるだけでなく、悪意のあるコンテンツまでも配信していると判断されて広告プラットフォームからブロックされる可能性も高くなるなど、次から次へと問題が発生します。

マイナス評価とフォロワー数減少

上記の手口の派生型として、SNSの有料広告アカウントの乗っ取りがあります。SNSの特性により、標的の企業にはさらなる問題が生じます。

第一に、企業のSNSアカウントへのアクセスは、通常、従業員の個人アカウントに関連付けられています。よくあるケースですが、攻撃者が広告主のパソコンを侵害したり、SNSアカウントのパスワードを盗んだりするだけで、「いいね!」ボタンを押したり、他の人の投稿をただ見るといった無害な操作だけでなく、所属する企業が許可する範囲の操作、たとえば企業ページへの投稿、メッセージ機能を通じてフォロワーへのDM送信、有料広告の掲載などさまざまな操作が可能になります。アカウントを盗まれた従業員からこれらの操作の権限を剥奪するのは、その従業員が企業ページのフルアクセス権を持つ主な管理者でない限り簡単なことです。主な管理者である場合は、アクセス権の復旧には非常に手間がかかります。

第二に、SNS上の広告のほとんどは、特定の企業やビジネスのために作成された「プロモーション広告の投稿」の形式をとります。攻撃者が通常のビジネスのアカウントをハッキングして詐欺広告を投稿し、それを宣伝した場合、オーディエンスはすぐにその投稿を誰が公開したかを確認し、その投稿について苦情を直接申し立てることができます。この場合、企業は金銭的な被害だけでなく、目に見える風評被害も被ることになります。

第三に、SNS上では、多くの企業が「カスタムオーディエンス」(各種の製品や サービスに関心のある顧客や、過去にその企業のWebサイトを参照したことのある顧客の既成の集積データ)を保存しています。カスタムオーディエンスは通常、SNSから抜き取る(つまり、盗む)ことはできませんが、残念ながら、特定のオーディエンスに適した形でより効果的なマルバタイジングを、そのデータに基づいて作成することは可能です。

予定外の被害を招くメルマガ

サイバー犯罪者による無料広告のもう1つの効果的な方法は、電子メールサービスプロバイダーのアカウントを乗っ取ることです。攻撃されたのが大企業であれば、そのメーリングリストには数百万人の購読者がいる可能性があります。

メールへのアクセスをハッキングする方法は次の通りです。購読者データベースのメールアドレスに彼らが興味を引くような内容のメールを送信したり、配信予定の広告メールのリンクを書き換えたり、または後で別の方法でフィッシングメールを送信する目的で、購読者データベースを単純にダウンロードして窃取することができます。

この場合も、金銭的、技術的な被害と風評被害が発生します。「技術的」とは、メールサーバーにより今後の受信メッセージがブロックされることを意味しています。言い換えれば、悪意のあるメール発信によってあなたの企業が被害を受けた場合、メールプラットフォームの問題のみならず、不正な通信の発信元としてあなたの企業をブロックした特定のメールプロバイダーとの問題も解決しなければならなくなる可能性があります。

このような攻撃による間接的な被害は、顧客の個人データの流出で、これは非常に厄介な問題に発展します。データ流出は、それ自体で1つのインシデントとなります。風評被害を招くだけでなく、データ保護規制当局から罰金を科される可能性もあります。

千変万化のWebサイト攻撃

Webサイトのハッキングは、特にSNSやオフラインを中心にビジネスを展開するスモールビジネスの場合、長い間気づかれない可能性があります。サイバー犯罪者の視点で見ると、Webサイトをハッキングする目的は、サイトの種類や企業の事業内容によって異なりますWebサイトの侵害がより高度なサイバー攻撃の一部であるケースはさておき、一般的には次のような攻撃があります。

第一に、サイバー犯罪者がeコマースサイトにWebスキマーをインストールするケースです。Webスキマーは、Webサイトのコードに直接埋め込まれる、巧妙に偽装された小さなJavaScriptで、顧客が商品やサービスを購入し、代金を支払う時にカード情報を窃取します。顧客が何かをダウンロードしたりする必要はありません。

第二に、攻撃者がサイト上に隠れたサブセクションを作成し、そこに悪意のあるコンテンツを埋め込むケースです。このようなページは、偽のプレゼントキャンペーン、偽の商品販売、トロイの木馬に感染したソフトウェアの配布など、多様な犯罪活動に使用することができます。サイトの運営側が攻撃者の存在に気づかない限り、こうした目的で正規のWebサイトを攻撃することは彼らにとって最高の選択肢と言えます。実際、業界全体がこう言った方法で攻撃されている事例もあります。特に攻撃者が好むのは、マーケティングキャンペーンや 1 回限りのイベントのために作成され、その後管理されずに放置されているWebサイトです。

Web サイトのハッキングによる企業への損害は多岐にわたります。たとえば、悪意のあるトラフィックによるサイト関連コストの増加、サイトのSEOランキングの低下による実際の訪問者数の減少、クレジットカードへの予期せぬ請求による、顧客や法執行機関との係争が発生する可能性などです。

Webフォームの不正操作

企業のWebサイトをハッキングしなくても、攻撃者は自分たちの目的のためにWebサイトを使用する場合があります。必要なのは、フィードバックフォームや予約フォームなど、確認メールを生成するWebサイトの機能だけです。サイバー犯罪者は自動化されたシステムを使用し、このようなフォームの脆弱性を悪用してスパム送信やフィッシングに使用します。

仕組みはシンプルで、標的のアドレスを連絡先メールとしてフォームに入力します。一方、詐欺メール自体のテキストは、名前または件名フィールドに入力します。たとえば「送金の準備が整いました(リンク)」などの文面が入力されます。その結果、被害者は次のような文面の悪意のあるメールを受信することになります: 「XXX様、送金の準備が整いました(リンク)。お問い合わせいただきありがとうございます。追ってすぐご連絡いたします。」当然ながら、スパム対策プラットフォームは最終的にこのようなメールを通過させないようになり、被害を受けた企業のフォームは機能の一部を失う結果となります。さらに、このようなメールの受信者は皆、その企業をスパム送信業者と同一視するため、企業の評判も低下します。

サイバー攻撃から広報やマーケティング資産を守る方法

これまで説明した攻撃には非常に多くのバリエーションがあるため、包括的な保護が必要です。以下はその手順です。

  • マーケティング部門全体に向けて、サイバーセキュリティ意識向上トレーニングを実施します。これを定期的に実施しましょう。
  • パスワードの正しい扱い方を全従業員に徹底させます。特にSNS、メーリングツール、広告管理プラットフォームでは、プラットフォームごとに桁数が多い固有のパスワードと二要素認証を使用することを義務付けます。
  • 企業のSNSやその他のオンラインツールにアクセスする必要がある全従業員に、1つのパスワードを流用する習慣をなくすよう徹底します。
  • メーリングや広告のツール、およびWebサイトの管理パネルには、企業の標準(EDRまたはインターネットセキュリティ、EMM/UEM、VPN)に準拠した総合的な保護機能がインストールされている業務デバイスからのみアクセスするように、従業員を指導します。
  • 総合的な保護機能を、個人所有のパソコンやスマホにインストールするよう、従業員に勧めます。
  • 使用しない時は、メーリングや広告のプラットフォーム、その他類似するアカウントから強制的にログアウトする習慣を定着させましょう。
  • 従業員の退職後はすぐに、SNSやメーリング、広告プラットフォーム、Web サイト管理システムへのアクセス権を失効させるようにします。
  • 送信済みのメールのリストや現在掲載中の広告を定期的に見直し、Webサイトの詳細なトラフィック分析も合わせて確認することで、適切なタイミングで異常を発見できるようにしましょう。
  • Webサイトで使用するすべてのソフトウェア(コンテンツ管理システム、その拡張機能)および業務用コンピューター(OS、ブラウザー、Officeなど)が、定期的かつ計画的に最新バージョンにアップデートされていることを確認してください。
  • Webサイトのサポート請負業者と協力して、フォームの検証とサニタイジングを実施します。特に、意図しないフィールドにリンクが挿入されないようにしてください。また、同じ攻撃者が1日に何百回ものリクエストをするのを防ぐために「レート制限」を設定し、さらにボットを防ぐためのスマートキャプチャも導入しましょう。
]]>
full large medium thumbnail
ワイヤレス充電器への攻撃:スマートフォンを過熱させて破損する手法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/voltschemer-attack-wireless-chargers/35987/ Tue, 12 Mar 2024 21:59:38 +0000 https://blog.kaspersky.co.jp/?p=35987 フロリダ大学の研究者グループは、ワイヤレス充電器を乗っ取る攻撃「VoltSchemer」に関する論文を発表しました。論文では、VoltSchemer攻撃の仕組みと原因、そして結果が詳細に説明されています。

このブログでは、まず研究者グループの主な発見についてご紹介します。そして、この攻撃が現実の世界で起こり得るのかどうかなどについて考察します。

VoltSchemer攻撃の背後にある主な考え

Qi(チー)規格とは、スマホの本体にケーブルを接続しなくてもワイヤレスで充電することができる仕組みで、この分野で最も有力な規格です。最近のワイヤレス充電器とワイヤレス充電が可能なスマホは、すべてQiに対応しています。VoltSchemer攻撃は、このQi規格の2つの特徴を悪用するものです。

1つ目の特徴は、スマホとワイヤレス充電器がバッテリーの充電プロセスを調整するために情報を交換する仕組みです。Qi規格の通信プロトコルでは、充電器とスマホをつなぐ唯一の「物」である磁場を介してメッセージがやり取りされます。

2つ目の特徴は、ワイヤレス充電器は誰でも自由に使えるように設計されているという点です。つまり、事前のペアリングは不要で、どのスマホでもワイヤレス充電器に置くだけでバッテリーの充電が開始します。そのため、Qiの通信プロトコルでは暗号化が行われず、すべてのコマンドが平文で送信されます。

この暗号化の欠如により、充電器とスマホ間の通信が中間者攻撃を受けやすくなります。つまり、通信が傍受されて改ざんされる可能性があるということです。最初の特徴(磁場の使用)とあわせて考えると、そのような改ざんを実行するのはそれほど難しくないことがわかります。磁場を操作してQi規格の信号を模倣できてさえしまえば、攻撃者は悪意のあるコマンドを送信できるのです。

VoltSchemer攻撃:改ざんされた電源アダプター

攻撃の方法を示すため、研究者グループは通常のUSBウォールソケットをハッキングのために改造した電源アダプターを考案。 出典

そして研究者グループは、実際にそれを実験してみました。USBウォールソケットに見せかけた「悪意のある」電源アダプターを作成したのです。その結果、高精度に調整された電圧ノイズを生成することが可能となり、彼らが作成したコマンドをワイヤレス充電器に送信したり、スマートフォンから送信されたQiのメッセージをブロックしたりすることが可能なことが明らかになりました。

このように、VoltSchemer攻撃は、ワイヤレス充電器のハードウェアやファームウェアを変更せずに行うことができます。必要なのは、悪意のある電源を、何の疑いもない被害者をおびき寄せるのに適した場所に設置することだけです。

次に研究者グループは、攻撃者がこの手法を悪用する可能性のあるあらゆる方法を調査しました。つまり、考えられるさまざまな攻撃ベクトルを検討し、実際にその実現可能性をテストしたのです。

VoltSchemer攻撃:概要と攻撃ベクトル

VoltSchemer攻撃を実行する際、ワイヤレス充電器自体を変更する必要はありません。悪意のある電源があれば十分。 出典

1. SiriやGoogleアシスタントなどの音声アシスタントに無音のコマンドを送信する

研究者グループが最初にテストしたのは、ワイヤレス充電器を介して充電中のスマートフォンに内蔵された音声アシスタントに、無音の音声コマンドを送信できるかどうかという点です。この攻撃ベクトルは、香港理工大学の研究者らが、「Heartworm」と命名した攻撃手法をまねたものです。

Heartworm攻撃:基本概念

Heartworm攻撃の基本概念は、磁場を使用してスマホの音声アシスタントに無音のコマンドを送信するというものです。 出典

この攻撃では、スマホのマイクが音声を電気振動に変換する仕組みを利用します。そのため、実際の音声を使わずに、電気そのものを利用してマイク内で電気振動を直接生成することができます。これを防ぐため、マイクのメーカーはファラデーケージと呼ばれる電磁シールドを使用しています。ただし、ここに重要なポイントがあります。電磁シールドは外部の磁波を遮断する点では優れていますが、低い周波数の磁場は侵入することができます。

通常、ワイヤレス充電が可能なスマホには磁場を防ぐフェライトスクリーンが備わっていますが、このスクリーンは誘導コイルのすぐ隣にあるため、マイクは覆われていません。そのため、最近のスマホのマイクは、ワイヤレス充電器など、磁場を操作できるデバイスからの攻撃に対して非常に脆弱となっています。

日のスマホのマイクは磁場の操作から保護されていない。 出典

このVoltSchemerの考案者は、すでに知られていたHeartworm攻撃を応用し、「悪意のある」電源を使用して充電中のスマホのマイクに影響を与える能力を指摘しました。Heartworm攻撃の考案者は、その目的のために特別に改造したワイヤレス充電器を使用していました。

2. 充電中のスマートフォンを過熱させる

次に研究者グループは、侵害された充電器で充電中のスマホをVoltSchemer攻撃によって過熱させることが可能かどうかをテストしました。通常、バッテリーの充電が必要レベルに達するか、温度がしきい値まで上昇すると、スマホは充電プロセスを停止するコマンドを送信します。

しかし研究者グループは、VoltSchemerを使用してこのコマンドをブロックすることに成功しました。侵害された充電器は停止コマンドを受信しないため、スマホにエネルギーを供給し続けます。スマホはそれに対して何もできず、徐々に熱くなります。このような場合に備えて、スマホには過熱を防ぐための緊急防御メカニズムが備わっています。まずアプリケーションを閉じ、それでも温度が下がらない場合はデバイス自体をシャットダウンします。

VoltSchemer攻撃により、研究者グループはワイヤレス充電器上のスマホを178°F(約81°C)の温度まで加熱することが可能。 出典

このようにして、研究者グループはスマホを81°C(178°F)の温度まで加熱することができました。これはバッテリーにとって非常に危険な温度であり、状況によっては発火する恐れがあります。そして充電中のスマホが放置されていれば、当然ながら他の物への延焼につながる可能性もあります。

3. その他の物体を過熱させて破損する

次に研究者グループは、他のさまざまなデバイスや日常的に使う物体が過熱して破損する可能性を探りました。もちろん、通常の状況下のワイヤレス充電器は、その上に置かれたスマホからコマンドを受信しない限り起動しないはずです。しかし、VoltSchemer攻撃を使うと、充電を停止しないというコマンドだけでなく、起動コマンドもいつでも送信できます。

では、その瞬間に充電器の上にある物体がどうなるかを予想してください。確実に悪いことが起きるでしょう。たとえば、研究者グループはペーパークリップを280°C(536°F)の温度まで加熱することができました。これはクリップで留めている書類を発火させるのに十分な温度です。また、車のキー、USBフラッシュドライブ、SSDドライブのほか、銀行カードやオフィスパス、トラベルカード、生体認証パスポートなどに埋め込まれたRFIDチップを過熱させて破損することに成功しました。

研究者グループはVoltSchemer攻撃によって、車のキー、USBフラッシュドライブ、SSDドライブ、RFIDチップを搭載した各種カードを使えなくしたり、ペーパークリップを280°Cの温度まで加熱したりすることができました。 出典

店舗で入手可能な9種類のモデルのワイヤレス充電器を研究者グループが調査したところ、そのすべてがVoltSchemer攻撃に対して脆弱でした。このように、供給電力が大きいモデルであるほど、スマホの深刻な損傷や過熱を引き起こす可能性が高くなるため、危険性も大きくなります。

VoltSchemer攻撃が現実の世界で発生する可能性

VoltSchemer攻撃は、単純な方法で防ぐことができます。公共のワイヤレス充電器の使用を避け、自分のワイヤレス充電器を疑わしいUSBポートや電源アダプターに接続しないようにするだけです。

VoltSchemer攻撃は非常に興味深い攻撃で、大きな影響を及ぼす可能性もありますが、現実世界で起こり得るかどうかについては大きな疑問が残ります。まず、このような攻撃を綿密に計画し準備するのは非常に困難です。第2に、放火魔でない限り、攻撃者にとってどのようなメリットがあるかがはっきりしません。

しかし、この研究が明らかに示しているのは、ワイヤレス充電器(特に強力なモデルほど)が本質的に危険となる可能性があるということです。したがって、信頼性と安全性が不明なワイヤレス充電器があった場合は、その使用を避けるのが賢明です。ワイヤレス充電器がハッキングされる可能性は現時点では低いですが、充電コマンドに応答しなくなった「怪しい」充電器によってスマホが偶発的に過熱して破損する危険性はまったくないとは言い切れません。

]]>
full large medium thumbnail
高等教育とサイバーセキュリティ | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/formal-education-cybersecurity/35969/ Fri, 08 Mar 2024 03:45:35 +0000 https://blog.kaspersky.co.jp/?p=35969 常に進化し、増加し続けるサイバー脅威に対抗し続けなくてはならないサイバーセキュリティ業界は、長い間、資格と経験を持つ専門家不足に直面しています。多くの企業は、情報セキュリティの専門家を募集しますが、専門の学校教育を受けている上、必要な経験を積んでいる理想の人材が見つからず、採用には至らないことがよくあります。この分野の教育を正式な学校機関で受けた人材の確保が、企業にとってどれほど重要か、また、そのような教育が最新のニーズにどれほど合致しているかを理解するために、当社のリサーチャーは、29の国や地域の従業員1,000人以上を対象にインタビューを実施し調査を行いました。職務経験2年の初心者から、10年以上の経験を持つCIOやSOCマネージャーまで、回答者の経験値は多岐にわたります。

まず第一に、この調査で明らかになったのは、すべての専門家が高等教育を受けているわけではないということです。たとえば、半数以上(53%)の情報セキュリティ従事者は、大学院での教育を受けていません。また、高等教育を受けている専門家の2人に1人は、この分野の学校教育が実際日常の仕事に役立っているのかを疑問視しています。

さらに今回の調査結果から、学校教育は、情報セキュリティの最新の動向に追いついていない傾向がみられます。サイバーセキュリティは、急速に変化する業界です。そのため、2~3か月の遅れが致命的となることがあります。一方、学位の取得には4~5年かかることもあり、その間攻撃者は、サイバー攻撃の戦術や手法をさらに進化させることができます。そのため、新卒の情報セキュリティの専門家は、実際の攻撃に遭遇した場合、脅威や防御方法に関するすべての最新記事にすぐに目を通し、学び続ける姿勢が求められています。

経験豊富な情報セキュリティの専門家は、教育機関では実践的な知識を十分に学べない上、最新の技術やツールに触れる機会もないと主張しています。したがって、情報セキュリティの分野で仕事をし、最新のサイバー脅威と戦うためには、いずれにせよ何らかの追加の教育が必要なのです。

もちろんこれは、高等教育を受けたサイバーセキュリティ担当者が、そうでない同僚よりも能力が劣るということを意味するものではありません。結局のところ、専門的な能力開発に最も重要なのは、セキュリティに対する熱意と、絶え間なくスキルアップを続ける努力です。回答者の多くは、従来の教育機関で実践的な知識よりも、理論的な知識を多く学んだと述べています。そして彼らは、確固たる理論的な土台がなければ、新しい知識を吸収するのに時間がかかるため、学校教育は依然として役に立つと感じています。一方、大学院での教育を一切受けていない専門家や、他のIT業界から情報セキュリティの世界に入った専門家も、サイバー脅威に対抗する分野において、有能な専門家に成長しています。本当に人それぞれです。

人材不足を解消するには

十分な数の優秀な情報セキュリティ専門家を確保し、定着させるためには、この状況を企業と教育機関が協力して改善していく必要があります。第一に考えられるのは、大学がサイバーセキュリティ企業との提携を検討することです。これにより、日常業務により適した知識を学生に提供することができます。そして第二に、企業が専門のコースの支援を受けて、従業員の専門知識を定期的に向上させるというのも良い考えです。

情報セキュリティ教育の問題に関する詳細は、レポートの第1章「Educational background of current cybersecurity experts」のWebページをご覧ください。

]]>
full large medium thumbnail
おもちゃのロボットに、のぞき見を可能にする脆弱性。本当の話です | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/robot-toy-security-issue/35953/ Wed, 06 Mar 2024 04:02:26 +0000 https://blog.kaspersky.co.jp/?p=35953 当社の専門家が最近、人気のあるおもちゃロボットのセキュリティを調査し、複数の脆弱性を発見しました。攻撃者がこれを悪用すると、ロボットにビデオ通話をかけたり、保護者のアカウントを乗っ取ることや、場合によっては不正に改ざんされたファームウェアをアップロードすることも可能です。今ブログでは、この問題について詳しく説明します。

おもちゃのロボットでできること

調査対象となったおもちゃのロボットは、スマホやタブレットと、移動用の車輪が付いたスマートスピーカーを組み合わせたような製品です。このロボットには手足がないため、周囲の環境と物理的に対話するためには家の中をさまよう必要があります。

このロボットには大型タッチスクリーンがついており、コントロールUIや子ども向けのインタラクティブな学習アプリ、生き生きとした漫画のキャラクターのような顔を表示します。そして、ロボットの顔の表情は状況に応じて変化します。また、ロボットはボイス(音声)コマンドで操作できますが、一部の機能はそれには対応していないため、時にはロボットを捕まえて画面の内蔵スクリーンを少し突っつく必要があります。

内蔵マイクと音量がやや大きいスピーカーに加えて、画面の真上には広角カメラが設置されています。このおもちゃの魅力は、外出している保護者がロボットを介して子どもたちと直接ビデオ通話をすることができる点です。

正面の画面と車輪のほぼ中間には、ロボットが家の中の物と衝突するのを回避するための光学式物体認識センサーが付いています。障害物の認識はメインカメラから完全に独立しているため、開発者は、メインカメラを完全に覆える便利な物理シャッターを追加しました。

つまり、カメラを通して自分や子供をのぞき見されないか心配になったら、このシャッターを閉じればよいのです。また、内蔵マイクを通して盗聴されていないか心配な場合は、ロボットの電源を切ればよいのです。ただし再起動にかかる時間を考慮すると、これはスリープモードではなく正真正銘のシャットダウンです。

ご想像のとおり、保護者がロボットを操作し、監視するためのアプリもあります。そして、もうお気づきかと思いますが、すべてがインターネットに接続されており、内部には多数のクラウドサービスが使用されています。技術的な詳細については、Securelistに公開したセキュリティ調査の完全版をご覧ください。

いつものことながら、システムが複雑になればなるほどセキュリティホールが存在する可能性も高くなり、誰かがそれを悪用して悪事を企てる恐れがあります。当社の専門家がロボットを詳しく調査した結果、私たちは複数の深刻な脆弱性を発見しました。

不正なビデオ通話

この調査で私たちが最初に発見したのは、悪意のある攻撃者がどのロボットにもビデオ通話をかけられるということです。メーカーのサーバーは、ロボットのIDと保護者のIDの両方を持っている人にビデオセッショントークンを発行しました。ロボットのIDは総当たり攻撃で難なく調べることが可能でした。どのロボットにも、本体に印字されたシリアル番号と同様の9桁のIDがあり、最初の2桁はすべてのユニットで共通しています。一方、保護者のIDは、ロボットのIDと共にリクエストをメーカーのサーバーに送信することで取得でき、認証を求められることはありませんでした。

したがって、誰でもいいから通話をしたいと思えば、攻撃者は、特定のロボットのIDを推測するか、無作為のIDを取得してゲーム感覚でハッキングをすることができます。

保護者アカウントの完全な乗っ取り

採用していたシステムは、ロボットのIDさえあれば誰でも多数の個人情報をサーバーから取得することが可能でした。これには、IPアドレス、居住国、子どもの名前、性別、年齢に加え、保護者アカウントの詳細情報(保護者のメールアドレスや電話番号、保護者のアプリをロボットとリンクするコードなど)も含まれています。

これは、保護者アカウントの完全な乗っ取りというはるかに危険な攻撃が可能であることを示しています。悪意のある攻撃者は、次の簡単な手順を踏むだけで攻撃を実行できたのです。

  • まず、以前取得したメールアドレスまたは電話番号を使用して、自分のデバイスから保護者のアカウントにログインします。認証には6桁のワンタイムコードを送信する必要がありましたが、ログイン試行回数が無制限なので、簡単な総当たり攻撃で完了します。
  • ワンクリックだけで、ロボットが保護者アカウントから切り離されます。
  • 次に、ロボットを攻撃者のアカウントにリンクします。アカウントの認証は前述のリンク用コードに依存しているため、サーバーはすべての訪問者にコードを送信します。

攻撃が成功すると、保護者はロボットへのアクセスを完全に失い、アクセス権を取り戻すには技術サポートに連絡する必要があります。その場合でも、攻撃者が必要とするのはロボットのIDだけで、これは変更されないため、彼らはプロセス全体を繰り返すことができます。

改ざんしたファームウェアのアップロード

最後に、ロボットのさまざまなシステムがどのように機能するのか調べたところ、ソフトウェアの更新プロセスにセキュリティ上の問題があることがわかりました。アップデートパッケージにデジタル署名が含まれておらず、ロボットはメーカーのサーバーから受信した特別なフォーマットのアップデートアーカイブを、最初に検証することもなくインストールしました。

これがアップデートサーバーを攻撃する可能性を開きます。アーカイブを改ざんしたファイルに置き換え、悪意のあるファームウェアをアップロードします。これにより、攻撃者はスーパーユーザー権限を使用してすべてのロボット上で任意のコマンドを実行できるようになります。理論的には、攻撃者はロボットの動きを操作したり、内蔵カメラやマイクを使ってスパイ活動をしたり、ロボットに電話をかけたりできるようになります。

身を守る方法

当社の専門家が発見した問題について、おもちゃロボットの開発者に報告したところ、彼らは問題を修正するための措置を講じました。上記の脆弱性は現時点ですべて修正されています。

最後に、さまざまなスマートガジェットを安全に使うためのヒントをいくつかご紹介します。

  • スマートデバイス(おもちゃも含む)はどれも、一般的に非常に複雑なデジタルシステムであり、多くの開発者はユーザーデータを安全に信頼性の高い方法で保存することができていません。
  • デバイスを購入するときは、他のユーザーのレビューをよく読みましょう。セキュリティに関する報告があればそれも読むようにしましょう。
  • デバイスに脆弱性が見つかったからと言って、そのデバイスが劣るわけではないということです。こういった問題はどこでも見つかるものです。注目すべきなのはメーカーの対応です。問題がすべて修正されたら良い兆候、無関心に見えるのは良くない兆候です。
  • スマートデバイスによるのぞき見や盗聴を避けるため、使用していないときはデバイスの電源を切り、カメラのシャッターを閉じるかテープを貼ります。
  • 最後に、言うまでもなく、信頼できるセキュリティソリューションで家族全員のデバイスを保護する必要があります。おもちゃのロボットのハッキングは確かに珍しいタイプの脅威ですが、他のオンライン脅威に遭遇する可能性は今でも非常に高いままです。
]]>
full large medium thumbnail
AIアシスタントをコンピューターにインストールして使用する方法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/how-to-use-ai-locally-and-securely/35896/ Mon, 04 Mar 2024 02:00:14 +0000 https://blog.kaspersky.co.jp/?p=35896 最近多くの人が、勉強や業務などで日々生成AIツールを使用するようになりました。たとえば、アメリカ人の60%近くが、ChatGPTやそれに似たツールを毎日のように使用しています。こういったツールを使用するときの全ての操作に関わるデータ、たとえばユーザーからの質問とそれに対する回答の両方が、OpenAIやGoogleなどのサーバーに保存されるため、それで発生するリスクを懸念する人がいます。ただ、生成AIを完全に手放す必要はありません。手間と少しだけお金をかければ、ニューラルネットワークを自分のパソコン上で実行することもできます。

クラウドの脅威

最もよく使われている生成AIアシスタントは、大企業のクラウドインフラ上で動作しています。これは効率的でしかも高速ですが、昨年ChatGPTで問題になったように、モデルによって処理された個人データは、AIサービスプロバイダーだけでなく、まったく関係のない第三者もアクセスすることができる可能性があります。

そういったデータの保存や他の組織との共有によって発生する脅威について考えてみましょう。自分が執筆した童話にかわいい挿絵を描いたり、ChatGPTに今週末の旅行の計画を作成してもらったりする分には、情報の流出が深刻なリスクにつながる可能性は低いでしょう。一方で、チャットボットとの会話に、個人データ、パスワード、銀行カード番号など機密情報が含まれている場合、クラウドへのデータ流出は到底許容できるものではありません。ありがたいことに、データを事前にフィルタリングすることで、データ流出は比較的簡単に防ぐことができます。これに関しては、別の記事を投稿しています。

しかし、たとえば医療情報や金融情報など、扱う情報がすべて機密情報である場合、または事前フィルタリングの信頼性があやしい場合(誰もプレビューしてフィルタリングしないような大量のデータを処理する必要がある場合)には、解決策は1つしかありません。クラウドからローカルコンピューター上での処理に変更することです。もちろん、独自のバージョンのChatGPTやMidjourneyをオフラインで実行する場合、満足のいく結果が得られない可能性が高くなります。しかし、別の生成AIをローカルで使用すれば、コンピューターの負荷をより低く抑えた上で、クラウドと同等の結果を得られるようになります。

ニューラルネットワークの実行に必要なハードウエア

ニューラルネットワークを使用するには超強力なグラフィックカードが必要だと聞いたことがあるかと思いますが、実際は必ずしもそうではありません。各種AIモデルの仕様によっては、RAM、ビデオメモリ、ドライブ、CPU(ここでは処理速度だけでなく、プロセッサが特定のベクター命令をサポートしているかどうかも重要)など、パソコンのコンポーネントの要件が高くなる場合があります。モデルを読み込めるかどうかはRAMの容量に依存し、「コンテキストウィンドウ」のサイズ、つまり以前の会話を記憶しているかどうかはビデオメモリの容量に依存します。通常、グラフィックカードとCPUの性能が低いと、生成速度は非常に遅くなります(テキストモデルの場合、1秒間に1~2ワード程度)。そのため、このような最小限のスペックのパソコンは、特定のモデルに慣れ親しみ、基本的な適合性を評価するためだけに使用するのがよいでしょう。本格的に毎日使用したいのなら、RAMを増設するか、グラフィックカードをアップグレードするか、より高速なAIモデルを選択する必要があります。

2017年当時に比較的強力と考えられていたパソコン、つまりAVX2命令をサポートしているCore i7以下のプロセッサー、16GBのRAM、少なくとも4GBのメモリを搭載したグラフィックカードで作業を試すとよいでしょう。Macユーザーの場合は、Apple M1チップ以上で動作するモデルがあれば十分ですが、メモリ要件は同じです。

AIモデルを選ぶ際は、まずそのシステム要件をよく知る必要があります。「<モデル名>の要件」のような検索クエリは、自分が利用できるハードウェアの条件で、このモデルをダウンロードする価値があるかどうかを評価するのに役立ちます。メモリサイズ、CPU、GPUが各種モデルのパフォーマンスに与える影響については、たとえばこのように詳細な研究があります。

高性能なハードウェアが利用できない人にとって朗報です。旧式のハードウェアでも実用的なタスクを実行できる簡略化されたAIモデルがあります。グラフィックカードが必要最小限の低い性能であっても、CPUのみを使用したモデルの実行や環境の起動が可能です。作業内容によっては、こうした環境でも十分に機能する場合があります。

各種のコンピューター環境と一般的な言語モデルの動作例

AIモデルの選択と量子化のマジック

今日、多岐にわたる言語モデルが利用可能ですが、その多くの実用的な用途は限られています。とはいえ、Mistral 7Bなどのテキスト生成やCode Llama 13Bなどのコードスニペット作成など、特定の作業に適してる上に使用が簡単な、一般に公開されているAIツールもあります。したがって、モデルを選択する場合は、いくつかの適切な候補まで絞り込み、コンピューターがそれらを実行するために必要なリソースを備えていることを確認するようにしましょう。

どのようなニューラルネットワークでも、記憶に関する負担のほとんどは重み(ネットワーク内の各ニューロンの動作を記述する数値係数)です。最初にモデルをトレーニングする時、重みは高精度の小数として計算され、保存されます。しかし、学習済みモデルの重みを四捨五入し、性能をわずかに低下させるだけで、AIツールを通常のパソコンで実行できることが判明しました。この処理は量子化と呼ばれます。これにより、モデルのサイズを大幅に縮小することができます。それぞれの重みに16ビットではなく、8ビット、4ビット、さらには2ビットを使用することが可能になります。

現在の研究によると、パラメータ数が多く量子化された大きなモデルの方が、正確な重みを保存する一方でパラメータが少ないモデルよりも、良い結果を得られることがあるとのことです。

このことを念頭におけば、オープンソースの言語モデルの宝庫、つまり、言語モデル探索においてトップであるOpen LLM Leaderboardを使用する際の手助けとなることでしょう。このリストでは、AIツールがいくつかの生成品質指標に基づいて並べられています。サイズが大きすぎたり、小さすぎたり、正確すぎたりするモデルを、フィルターで簡単に除外することができます。

フィルターセットで分類された言語モデルのリスト

モデルの説明を読み、ニーズに適合する可能性があることを確認したら、Hugging FaceまたはGoogle Colabサービスを使用して、クラウドでパフォーマンスをテストしましょう。この方法により、満足のいく結果が得られないモデルのダウンロードを回避でき、時間を節約できます。モデルの最初のテストに満足したら、ローカルでどのように動作するかを確認してみましょう。

必要なソフトウェア

オープンソースのモデルの大半はHugging Faceで公開されていますが、単にパソコンにダウンロードするだけでは十分ではありません。これらを実行するには、LLaMA.cppのような専用のソフトウェアをインストールする必要があります。操作をもっと簡単にしたい場合は、そのソフトウェアの「ラッパー」であるLM Studioをインストールします。後者を使用すると、アプリケーションから目的のモデルを直接選択してダウンロードし、ダイアログボックスで実行することができます。

ローカルでチャットボットを使用するための「すぐに使える」別の方法として、GPT4Allがあります。このチャットボットで使用可能な言語モデルの選択肢は10種類程度に限られますが、そのほとんどは、わずか8GBのメモリと基本的なグラフィックカードしか搭載していないパソコンでも動作します。

生成が遅すぎる場合は、量子化を粗くしたモデル(4ビットではなく2ビット)が必要かもしれません。生成が中断されたり、実行エラーが発生した場合、その問題は多くの場合メモリ不足です。より少ないパラメータを持つモデルか、量子化がより粗いモデルを探すのが得策です。

Hugging Faceに掲載されている多くのモデルは、色々な精度で既に量子化されていますが、自分の望む精度のモデルがまだ量子化されていない場合は、GPTQを使用して自分で量子化することができます。

先週また新たな有望なツールが公開ベータ版としてリリースされました。NVIDIAのChat With RTXです。最も需要が高いAIチップのメーカーによって、YouTubeの動画の内容を要約したり、文書一式を処理したりすることができるローカルチャットボットがリリースされました。これを使用するには、16GBのメモリ、および8GB以上のビデオメモリを搭載したNVIDIA RTX 30シリーズか40シリーズのグラフィックカードが実装されたWindows PCが必要になります。「ボンネットの下」は、Hugging FaceのMistralとLlama 2と同じ品種です。もちろん、強力なグラフィックカードによる生成パフォーマンスの向上も可能ですが、最初のテスターからのフィードバックによると、既存のベータ版はサイズが大きいために非常に扱いにくく(約40GB)、インストールも難しいとのことです。しかし、NVIDIAのChat With RTXは、将来非常に便利なローカルAIアシスタントになる可能性があります。

量子化言語モデルTheBloke/CodeLlama-7B-Instruct-GGUFによって書かれたゲーム「Snake」のコード

上記のアプリケーションは、すべての計算をローカルで実行し、データをサーバーに送信せず、オフラインで実行できるため、機密情報を安全に共有できます。しかし、データ流出を完全に防ぐには、言語モデルのセキュリティだけでなく、使用するパソコンのセキュリティも確保する必要があります。そこで出番となるのが、当社の総合的なセキュリティソリューションです。独立系機関によるテストでも確認されているように、カスペルスキー プレミアムはパソコンのパフォーマンスにほとんど影響を与えません。これは、ローカルAIモデルを使用する際には重要なメリットとなります。

]]>
full large medium thumbnail
ランサムウェア:2023年に最も注目を集めた攻撃 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/ransommare-attacks-in-2023/35858/ Fri, 01 Mar 2024 02:29:21 +0000 https://blog.kaspersky.co.jp/?p=35858 2023年7月、日本一の海運拠点である名古屋港のコンテナターミナルシステムがランサムウェア攻撃を受け、約3日間に渡り業務が停止するという事態に陥りました。このように、日本の物流を支える重要インフラがランサムウェアの攻撃を受けたというニュースは世界でも大きく取り上げられました。

ランサムウェア攻撃は、企業のセキュリティにとって重大な脅威です。当社の専門家による調査によりますと、2022年から2023年にかけて、ランサムウェアグループの数が世界全体で30%増加しました。それと並行して、ランサムウェア攻撃の被害者数も同期間、70%増加しました。

このブログでは、2023年に世界で発生した最大かつ最も注目を集めたインシデントをご紹介します。

2023年1月:LockBitによる英国ロイヤルメールへの攻撃

2023年早々、犯罪グループ「LockBit(ロックビット)」が、英郵便事業ロイヤルメールに対してランサムウェア攻撃を仕掛けました。この攻撃によって、バックオフィスシステムが影響を受けたため、海外発送が麻痺し、何百万通もの手紙や小包の配達に遅延が発生しました。使用されたランサムウェアは、自律的に拡散するものの一種で、小包追跡のWebサイト、オンライン決済システム、その他複数のサービスも機能不全に陥りました。また、北アイルランドのロイヤルメール配送センターでは、プリンターがLockBitグループ特有のオレンジ色の身代金請求書を大量に印刷し始めたとも報じられています。

ロイヤルメール配送センターのプリンターが本格的に印刷を開始したロックビットの身代金請求書。出典

ロイヤルメール配送センターのプリンターが大量に印刷したLockBitの身代金請求書。出典

最近のランサムウェア攻撃ではよくあることですが、LockBitは、身代金を払わなければ盗んだデータをオンラインに公開すると脅迫しました。それに対して、ロイヤルメールは支払いを拒否したため、盗まれたデータは公開されました。

2023年2月:ESXiArgsが世界中のVMware ESXiサーバーを攻撃

2月は、VMware ESXiサーバーを狙ったランサムウェア「ESXiArgs」が猛威を奮いました。これは、VMware ESXiサーバーのリモートコード実行(RCE)の脆弱性、CVE-2021-21974を利用したものです。VMwareは、2021年初頭にこの脆弱性に対するパッチをリリースしましたが、未パッチのサーバーが狙われました。この攻撃によって、3,000台以上のVMware ESXiサーバーが暗号化されました。

身代金の要求額は、約2BTC強(攻撃当時約45,000ドル相当)でした。攻撃者は、被害者ごとにそれぞれ新しいビットコインウォレットを生成し、そこに身代金を入れるよう要求しました。

ESXiArgs ランサムウェアのオリジナルバージョンからの身代金要求。出典

攻撃開始からわずか数日後、サイバー犯罪者たちは暗号化されたバーチャルマシンの復旧をはるかに困難にするクリプトマルウェアの新種を使用し始めました。また彼らの活動を追跡しにくくするために、また身代金ウォレットのアドレスを記載するのを止め、代わりにP2Pメッセンジャー、Toxを通じて連絡を取るよう被害者に要求しました。

2023年3月:ClopグループがGoAnywhere MFTのゼロデイを悪用

2023年3月、ランサムウェアグループ「Clop(クロップ)」は、Fortra製のマネージドファイル転送ツール、GoAnywhere MFTのゼロデイ脆弱性を悪用したランサムウェア攻撃を実行しました。Clopは、このように世界中で使われているサービスの脆弱性を悪用した大規模キャンペーンを展開することで知られており、2020年から2021年にかけては、Accellion FTAの脆弱性を悪用して組織を攻撃し、2021年後半には、SolarWinds Serv-U製品の脆弱性を悪用したことも報告されています。

Procter & Gambleトロント市、米国最大級のヘルスケアプロバイダーであるCommunity Health Systems、さらには日立エナジーなど、計100以上の組織が使用する脆弱なGoAnywhere MFTサーバーが攻撃を受けました。

インターネットに接続された GoAnywhere MFT サーバーのマップ。出典

2023年4月:NCRのAloha POS端末がBlackCatランサムウェアで使用不能に

4月、ATM、バーコードリーダー、POS端末、その他の小売および銀行機器の製造・サービスを行っている米国NCR社が、ALPHVグループ(使用するランサムウェア名にちなんで別名BlackCat、ブラックキャット)からランサムウェア攻撃を受けました。

このランサムウェア攻撃により、主にファーストフードなどのレストランで使用されているAloha POSプラットフォームを扱うデータセンターが数日間停止に追い込まれました。

ALPHV/BlackCatグループにランサム攻撃を受けたNCR Aloha POSプラットフォーム。出典

基本的に、このプラットフォームは、決済処理、オンライン注文の受付、ポイントプログラムの運営から、厨房での料理の準備や給与計算の管理まで、ケータリング業務を管理するためのワンストップショップです。NCRへのランサムウェア攻撃の結果、多くのケータリング施設は、手書きで注文を取る以前の方法を余儀なくされました

2023年5月:ダラス市へのロイヤルランサムウェア攻撃

5月上旬、全米で9番目に人口の多い都市、テキサス州ダラスの自治体サービスが、ランサムウェア攻撃を受けました。最も影響を受けたのはダラス市警の通信システムで、ダラス市のネットワークプリンターが身代金要求のメモを突然印刷し始めました。

ダラス市のネットワークプリンターで印刷された身代金要求書。出典

さらに同月末、都市部の自治体を狙った別のランサムウェア攻撃が発生しました。その標的は米ジョージア州のオーガスタ市で、攻撃者はBlackByte(ブラックバイト)というグループでした。

2023年6月:Clopグループ、MOVEit Transferの脆弱性を利用した大規模攻撃を開始

6月、Fortra製のGoAnywhere MFTに対する2月の攻撃を担当した同じClopが、別のマネージドファイル転送ツールであるProgress SoftwareのMOVEit Transferの脆弱性を悪用したことが確認されました。この脆弱性、CVE-2023-34362は、5月最終日にProgressによって修正されましたが、パッチが適用されていないクライアントが侵害される被害に遭いました。

このランサムウェア攻撃は、今年最大のインシデントのひとつで、石油会社のシェル、ニューヨーク市教育局、英公共放送のBBC、イギリスの薬局チェーンBoots、アイルランドの航空会社Aer Lingusジョージア大学、ドイツの印刷機器メーカーHeidelberger Druckmaschinenなど数多くの組織に影響を与えました。

ClopのWebサイトでは、侵害された企業に対し、交渉のために同グループに連絡するよう指示している。出典

2023年7月:ハワイ大学がNoEscapeグループに身代金を支払う

7月、ハワイ大学はランサムウェア攻撃を受け、犯人への支払いに応じたことを明らかにしました。事件自体は、MOVEitへの攻撃に注目が集まっていた1ヶ月前に発生していたということです。攻撃者は、「NoEscape」という名の比較的新しいグループで、大学の学部のひとつであるハワイアン・コミュニティ・カレッジにランサムウェア攻撃を仕掛け、機密データを流出させたと主張しました。

大学に対し攻撃者は、盗んだ65GBのデータを公表すると脅迫しました。そのデータには、28,000人分の個人情報が含まれていました。そのため、大学側が犯人の要求に応え、身代金を支払う結果となりました。

NoEscapeがハワイ大学をハッキングしたとウェブサイトで発表。出典

特筆すべきは、ランサムウェアの拡散を食い止めるため、大学職員がITシステムを一時的にシャットダウンしなければならなかったことです。NoEscapeグループは身代金を支払うと復号キーを提供しましたが、ITインフラの復旧には2ヶ月かかりました

2023年8月:Rhysida、ヘルスケア部門を標的に

8月は、ランサムウェアグループ「Rhysida(リシダ)」が、医療分野へ一連の攻撃を行いました。アメリカの複数の州で16の病院と165の診療所を運営するプロスペクト・メディカル・ホールディングス(PMH)が、最も大きな被害を受けました。
攻撃者は、1TBの企業文書と、50万件の社会保障番号、パスポート、運転免許証、患者の医療記録、金融および法律文書を含む1.3TBのSQLデータベースを盗んだと主張しました。そして、50BTC(当時のレートで約130万ドル相当)の身代金を要求しました

リシダグループからの身代金要求の手紙。出典

2023年9月:BlackCatがシーザーズとMGMのカジノを攻撃

9月上旬、シーザーズとMGMという米国最大級のホテル、カジノチェーン2社に対する一連のランサムウェア攻撃が発生しました。この攻撃の背後には、NCRのAloha POSプラットフォームへの攻撃に関与したALPHV/BlackCatグループがいるとされています。

これにより、複数のホテルのチェックインシステムからスロットマシンに至るまで、各社のインフラ全体がシャットダウンしました。巨大ビジネスを抱えるシーザーズは、調査や復旧作業にも莫大なコストが発生するため、犯人と交渉することを選択し、当初の3,000万ドルの要求額の半分である1,500万ドルを支払うことで合意しました。一方のMGMは、金銭は一切支払わず、自力でインフラを復旧させることを選びました。この復旧作業には9日間を要し、その間に同社は、1億ドルの損失(同社の試算)を被りましたが、そのうち1,000万ドルはダウンしたITシステムの復旧に関連する直接費用でした。

シーザーズとMGM、ラスベガスのカジノの半分以上を所有

2023年10月:BianLianがエア・カナダを攻撃

10月、グループ「BianLian(ビアンリアン)」は、カナダ最大の航空会社エア・カナダにランサムウェア攻撃を仕掛けました。攻撃者は、従業員/サプライヤーのデータや機密文書を含む210GB以上の様々な情報を盗んだと主張しました。特に、攻撃者は航空会社の技術面の違反やセキュリティ問題に関する情報を盗むことに成功したと述べています。

BianLianはWebサイト上でエア・カナダに身代金を要求。出典

2023年11月:LockBit、Citrix Bleedの脆弱性を悪用

11月は、「LockBit」がCitrix Bleedの脆弱性を悪用しました。この脆弱性に対するパッチは1カ月前に公開されていたが、大規模な攻撃が行われた時点では、一般にアクセス可能な1万台以上のサーバーに脆弱性が残っていました。LockBitはこれを利用し、複数の大手企業のシステムに侵入。データを盗み、ファイルを暗号化しました。

被害者の中には米国ボーイング社も含まれており、攻撃者は盗んだデータを身代金の支払いを待たずに公開してしまいました。LockBitは、世界最大の商業銀行である中国工商銀行(ICBC)も攻撃しました。

LockBitのWebサイトがボーイング社に身代金を要求

この事件は、UAEに本社を置き、世界中で数十の港湾とコンテナターミナルを運営する大手物流企業、DPワールドのオーストラリア部門に大きな打撃を与えました。DPワールド・オーストラリアのITシステムに対する攻撃によって、同社のロジスティクス業務を大幅に中断させ、約3万個のコンテナがオーストラリアの港で立ち往生しました。

2023年12月:法執行機関、ALPHV/BlackCatのインフラを押収

年末にかけて、FBI、米司法省、欧州警察機構(ユーロポール)、そしてヨーロッパ数カ国の法執行機関による共同作戦が行われ、ランサムウェアグループ「ALPHV/BlackCat」のWebサイトを押収しました。法執行機関はALPHV/BlackCatのサーバーに侵入し、サイバー犯罪者の行動を数ヶ月間静かに観察し、データの復号キーを奪取することに成功しました。その後、奪った複合キーを元に復号ツールを開発し、被害者を支援しました。

こうして、同機関は世界中の500以上の組織からランサムウェアの脅威を排除し、約6,800万ドルの支払いの可能性を回避しました。その後、12月に最終的なサーバーの乗っ取りが行われ、BlackCatの活動は終了しました。

ALPHV/BlackCatのインフラを押収するための合同法執行作戦。出典

ランサムウェアグループの活動に関する様々な統計も公開されました。FBIによりますと、ALPHV/BlackCatは2年間の活動期間中、1000以上の組織に侵入し、被害者に総額5億ドル以上を要求し、約3億ドルの身代金の受け取りに成功しています。

ランサムウェア攻撃から身を守るには

ランサムウェア攻撃は年を追うごとに多様化し、巧妙化しているため、インシデントを防ぐためのキラー・キャッチオール・ヒントは存在しない(存在し得ない)。防御策は包括的でなければならない。以下の作業に重点を置いてください:

]]>
full large medium thumbnail
ChatGPT、Gemini、その他のAIを安全に使用する方法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/how-to-use-chatgpt-ai-assistants-securely-2024/35827/ Wed, 28 Feb 2024 01:45:29 +0000 https://blog.kaspersky.co.jp/?p=35827 最近では生成AIツールを使って文章や画像、動画、さらには音楽まで作成できるようになり、2022年ごろから急速に普及しました。生成AIのアプリケーション、サービス、プラグインの爆発的な成長は、今後さらに加速するとみられています。オフィスアプリケーションや画像エディターから、Visual Studioなどの統合開発環境(IDE)など、長年使用されている使い慣れたツールにも生成AIが搭載されています。また多くの開発者が、大規模言語モデルを搭載した何千もの新しいアプリを開発し続けています。しかしそんな中、まだ誰も本質的なセキュリティ上の問題、とりわけ機密データの漏えいを最小限に抑えること、また、さまざまな生成AIツールによるアカウント/デバイスのハッキングの問題を解決できていません。ましてや、未来の「邪悪なAI」に対する適切な安全策を講じることもできていません。誰かがユーザーを保護するためのソリューションを考案するまでは、自分を守るためのスキルをいくつか身につけておく必要があります。

このブログでは、後で後悔することがないように、生成AIを安全に活用するためのヒントについてお話しします。

重要なデータをフィルタリングする

ChatGPTの開発元であるOpenAIのプライバシーポリシーには、チャットボットとの対話はすべて保存され、さまざまな目的のために利用される場合があると明確に記載されています。まず、誰かが不適切なコンテンツを生成することを思いついた場合に備えて、技術的な問題を解決し、利用規約違反を防止します。そんなことを考えるなど理解できないと思うかもしれません。この場合、チャットは人間によってレビューされる場合もあります。次に、データは新しいGPTバージョンのトレーニングや他の製品の「改良」に利用される可能性があります。

GoogleのGemini、AnthropicのClaude、MicrosoftのBingとCopilotなど、他のほとんどの一般的な言語モデルには同様のポリシーがあり、すべて会話全体を保存できることになっています。

とはいえ、ソフトウェアのバグにより、ユーザーが自分の会話ではなく他人の会話を見てしまうという、不測のチャット漏えいがすでに発生しています。このデータがトレーニングに使用されると、事前トレーニングされたモデルからのデータ漏えいにつながる可能性もあります。AIアシスタントは、誰かの質問への回答と関連性があると判断した場合、あなたが入力したあなたの情報を他人に提供してしまう可能性があります。情報セキュリティの専門家は、会話を盗むことを目的とした複数の攻撃(123)も設計していますが、攻撃がそれだけにとどまる可能性は低いと考えられます。

したがって、チャットボットに書き込む内容はすべて悪用される可能性があることに注意してください。生成AIと話すときは予防措置を講じることをお勧めします。

個人のプライベートな情報をチャットに書き込まないようにしましょう。たとえば、パスワード、パスポートや銀行カードの番号、住所、電話番号、名前、またはあなたや会社、顧客に属するその他の個人データが生成AIとのチャットに含まれてはなりません。リクエストでこれらをアスタリスクまたは「REDACTED(編集済み)」に置き換えることができます。

いかなるドキュメントもアップロードしないようにしましょう。多数のプラグインやアドオンにより、ドキュメント処理にチャットボットを使用できます。たとえば、エグゼクティブサマリーを入手するために作業ドキュメントをアップロードしたくなるかもしれません。しかし、不用意に複数ページのドキュメントをアップロードすると、機密データ、知的財産、または新製品の発売日やチーム全体の給与などの商業上の秘密が漏えいする危険があります。さらに、外部ソースから受け取ったドキュメントを処理する際に、言語モデルによってスキャンされるドキュメントを利用した攻撃の標的になる可能性もあります。

プライバシー設定を確認しましょう。大規模言語モデル(LLM)ベンダーのプライバシーポリシーと利用可能な設定を注意深く確認します。通常、トラッキングを最小限に抑えるために設定を変更することができます。たとえば、OpenAIでは、チャット履歴の保存を無効化することができます。その場合、データは30日後に削除され、トレーニングに使用されることはありません。API、サードパーティのアプリ、またはサービスを使用してOpenAIソリューションにアクセスする場合、その設定はデフォルトで有効になっています。

コードを送信する場合は、機密データをクリーンアップしてください。このヒントは、コードのレビューと改善にAIアシスタントを使用しているソフトウェアエンジニアに向けたものです。API キー、サーバーアドレス、またはアプリケーションの構造やサーバー構成の漏えいにつながる可能性のあるその他の情報はすべて削除しましょう。

サードパーティのアプリケーションとプラグインの使用を制限する

どのようなAIアシスタントを使用しているかにかかわらず、常に上記のヒントに従ってください。ただし、それでもプライバシーを確保するには十分ではない可能性があります。ChatGPTプラグイン、Gemini拡張機能、または個別のアドオンアプリケーションを使用することで、これまでにない新しいタイプの脅威が生まれるでしょう。

まず、チャット履歴は、GoogleやOpenAIのサーバーだけでなく、プラグインやアドオンをサポートするサードパーティのサーバー、さらにはパソコンやスマホの予期せぬ場所にも保存される可能性があります。

次に、ほとんどのプラグインは、Web検索、Gmailの受信トレイ、Notion、Jupyter、Evernoteなどのサービスからの個人メモなどの外部ソースから情報を取得します。その結果、これらのサービスからのデータは、プラグインまたは言語モデル自体が実行されているサーバーにも送信される可能性があります。このような統合には重大なリスクを伴う可能性があります。たとえば、ユーザーに代わって新しいGitHubリポジトリを作成するこちらの攻撃を考えてみましょう。

そして、AIアシスタント用のプラグインの公開と検証は、現時点では、たとえばApp StoreやGoogle Playのアプリ審査よりもはるかに不透明なプロセスです。したがって、正常に動作しない、作成方法が拙劣で、バグが多い、または明らかに悪意のあるプラグインに遭遇する可能性はかなり高くなります。誰も作成者やその連絡先を実際にチェックしていないと見られているためです。

これらのリスクをどのように緩和することができるでしょうか。ここでの重要なヒントは、少し時間を置くことです。プラグインのエコシステムはまだ歴史が浅く、公開とサポートのプロセスは十分にスムーズではありません。また、作成者自身も、プラグインを適切に設計したり、情報セキュリティ要件に準拠したりすることに常に注意を払っているとは限りません。このエコシステム全体が成熟し、より安全で信頼性の高いものになるには、さらに時間が必要です。

その上、多くのプラグインやアドオンがChatGPTのストックバージョンに加える価値は、UIのマイナーな調整と、特定のタスク(「高校の物理教師として行動する」など)のためにアシスタントをカスタマイズする「システムプロンプト」テンプレートなど、最小限です。それらがなくてもタスクを問題なく実行できるため、わざわざデータについて信頼するに値しません。

特定のプラグイン機能が今すぐ必要な場合は、使用する前に最大限の注意を払うようにしましょう。

  • 拡張機能やアドオンは、少なくとも数か月前から存在し、定期的に更新されているものを選びます。
  • ダウンロード数が多いプラグインのみを検討し、問題がないかレビューを注意深く読みます。
  • プラグインにプライバシーポリシーが付いている場合は、拡張機能の使用を開始する前によく読みます。
  • オープンソースツールを選択します。
  • 初歩的なコーディングスキルを持っている場合、またはプログラマーの友人がいる場合は、コードをざっと読み、宣言されたサーバー、理想的にはAIモデルサーバーのみにデータが送信されることを確認します。

実行プラグインは特別な監視を必要とする

これまで、データ漏えいに関連するリスクについて説明してきました。しかし、生成AIを使用する場合の潜在的な問題はそれだけではありません。多くのプラグインは、航空券の注文など、ユーザーのコマンドで特定のアクションを実行できます。これらのツールは、悪意のある攻撃者に新たな攻撃ベクトルを提供します。被害者には、メインコンテンツに加えて、言語モデルに対する隠された命令を含むドキュメント、Webページ、動画、さらには画像が提示されます。被害者がチャットボットにドキュメントやリンクをフィードすると、チャットボットは、被害者のお金でチケットを購入するなど、悪意のある命令を実行します。このタイプの攻撃はプロンプトインジェクションと呼ばれ、さまざまなLLMの開発者がこの脅威に対する保護手段を開発しようと試みています。しかし、誰もまだ開発に成功しておらず、おそらく今後も難しいと言えます。

幸いなことに、ほとんどの重要なアクション(特にチケットの購入などの決済取引を伴うアクション)では、二重の確認が必要となります。しかし、言語モデルとプラグイン間の相互作用により、攻撃対象範囲が非常に大きくなるため、これらの対策から一貫性のある結果を保証することは困難です。

したがって、生成AIツールを選択する際には細心の注意を払い、生成AIツールが信頼できるデータのみを受け取って処理するようにする必要があります。

]]>
full large medium thumbnail
ポスト量子暗号によるiMessageの保護:プライバシー保護の次のステップ | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/apple-pq3-quantum-secure-messaging/35840/ Tue, 27 Feb 2024 00:55:51 +0000 https://blog.kaspersky.co.jp/?p=35840 近い将来、量子コンピューターが広く使用されるようになれば、古典的な暗号化手法で暗号化されたメッセージがハッカーによって驚異的なスピードで解読されるようになるかもしれません。Appleは、この問題の可能性に対する解決策として、同社のOSの次のアップデート以降、iMessageでの会話は「PQ3」と呼ばれる新しいポスト量子暗号プロトコルによって保護されることを発表しました。この技術は、エンドツーエンド暗号化アルゴリズムを公開鍵で変更し、古典的な非量子コンピューターでの動作を可能にする一方で、将来の量子コンピューターの使用による潜在的なハッキングからの保護も実現します。

今回は、この新しい暗号化プロトコルがどのように機能するのか、そしてなぜ必要なのかを説明します。

PQ3の仕組み

現在、一般的なインスタントメッセンジャーやサービスはすべて、公開鍵と秘密鍵のペアを使用する標準的な非対称暗号化方式を採用しています。公開鍵は送信メッセージの暗号化に使用し、セキュアでないチャネルでも送信できます。秘密鍵は、メッセージの暗号化に使用される対称セッション鍵の作成に使用されます。

現時点ではこのレベルのセキュリティで十分ですが、Appleはハッカーが量子コンピューターに先んじた準備をしている可能性を懸念し、安全策を講じています。データストレージが低コストであることを利用して、攻撃者が膨大な量の暗号化データを収集し、量子コンピュータを使用して復号化できるようになるまで保管しておく可能性があります。

これを防ぐために、AppleはPQ3と呼ばれる新しい暗号保護プロトコルを開発しました。鍵交換は現在、追加されたポスト量子暗号のコンポーネントで保護されています。また、復号化される可能性のあるメッセージの数も最小限に抑えられます。

メッセンジャーで使用される暗号化の種類

メッセンジャーで使用される暗号化の種類。出典

PQ3プロトコルは、iOS 17.4、iPadOS 17.4、macOS 14.4、watchOS 10.4のアップデートで全ユーザーに提供されます。新プロトコルへの移行は段階的に行われます。まず、PQ3対応デバイスでのユーザーの会話は、すべて自動的にこのプロトコルに切り替わります。その後、Appleは2024年後半に、それまで使用していたエンドツーエンドの暗号化プロトコルを完全に置き換える予定です。

基本的に、この間近に控えたセキュリティの強化はAppleの功績によるものです。しかし、インスタントメッセージングのサービスやアプリケーションのサイバーセキュリティにポスト量子暗号を導入したのは、Appleが最初ではありません。2023年秋、Signalの開発者は類似するプロトコルであるPQXDHのサポートを追加しました。PQXDHは、Signalのアップデートバージョンのユーザーがセキュアなチャットを新規作成する時に、インスタントメッセージのセキュリティをポスト量子暗号によって確立します。

PQ3の登場がAppleユーザーのセキュリティに与える影響

Appleが実質的に行っているのは、iMessageの全体的なメッセージ暗号化スキームにポスト量子暗号のコンポーネントを追加することです。実際には、PQ3は従来のECDSA非対称暗号化と同様に、セキュリティアプローチにおける一要素に過ぎません。

ともあれ、ポスト量子暗号化の技術のみを信頼することはお勧めできません。Kasperskyのグローバル調査分析チーム(GReAT)のディレクター、イゴール・クズネツォフは、Appleの新技術について次のようにコメントしています。

「PQ3は依然としてメッセージ認証を従来の署名アルゴリズムに依存しているため、(まだ作成されてはいないものの)強力な量子コンピューターを使用する中間者攻撃によってハッキングされる可能性は残っています。

PQ3は、デバイスを侵害したり、ロックを解除したりすることができる攻撃からデバイスを保護するでしょうか? いいえ、PQ3が保護するのはトランスポート層だけです。メッセージがAppleのモバイルデバイスに配信されてしまえば、違いはありません。メッセージは、画面から読み取られたり、スマホのロック解除後に法執行機関によって読み出されたり、PegasusTriangleDB、または類似するソフトウェアを使用する高度な攻撃によって流出させられたりする可能性があります。」

したがって、データの保護について懸念しているユーザーは、最新のポスト量子暗号プロトコルだけに頼るべきではありません。第三者がインスタントメッセージにアクセスできないように、デバイスを完全に保護することが重要です。

]]>
full large medium thumbnail
「DNSに対する最悪の攻撃KeyTrap」:1つのパケットでDNSサーバーを停止させる方法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/keytrap-dnssec-vulnerability-dos-attack/35818/ Fri, 23 Feb 2024 00:28:10 +0000 https://blog.kaspersky.co.jp/?p=35818 ドイツの国立応用サイバーセキュリティ研究センターは今月、DNSSEC(ドメインネームセキュリティ拡張)に関する設計上の重大な欠陥を発見したと発表しました。DNSSECは、DNSプロトコルのセキュリティを向上させ、主にDNSスプーフィングに対抗するために設計されたものです。

研究グループは、この脆弱性KeyTrapを悪用した攻撃を「KeyTrap攻撃」と新しく名付けました。この攻撃は、悪意のある単一のデータパケットを送信するだけで、DNSサーバーを停止させることが可能です。今回のブログではこの攻撃の詳細をご説明します。

KeyTrapの仕組みと危険性

DNSSECの脆弱性が公になったのは最近のことで、2023年12月に発見され、CVE-2023-50387が採番されました。CVSS 3.1のスコアは7.5で、深刻度は「高」です。この脆弱性とそれに関連する攻撃に関する完全な情報はまだ公表されていません。

KeyTrapの仕組みは次の通りです。攻撃者は、クライアントのリクエストに直接対応するサーバー、キャッシュDNSサーバーからのリクエストに悪意のあるパケットで応答するネームサーバーを設定します。次に攻撃者は、キャッシュサーバーに悪意のあるネームサーバーからDNSレコードをリクエストさせます。レスポンスとして送信されるレコードは、暗号署名された悪意のあるものです。これによって、攻撃されたDNSサーバーは、その署名を検証するために長時間CPUをフル稼働させることになります。

研究者らによりますと、このような悪意のあるパケットは単一で、DNSサーバーを170秒から16時間停止させることができます。KeyTrap攻撃は、標的となったDNSサーバーを使用しているすべてのクライアントのWebコンテンツへのアクセスを拒否するだけでなく、スパム保護、デジタル証明書管理(PKI)、セキュア・クロスドメイン・ルーティング(RPKI)など、さまざまなインフラサービスを妨害する可能性があります。

研究者は、KeyTrapを「これまで発見されたDNSに対する最悪の攻撃」と呼んでいます。それにしても、この攻撃を可能にしている署名検証ロジックの欠陥は、実は1999年に発表されたDNSSEC仕様の最も古いバージョンで発見されています。つまり、この脆弱性は25年もの間発見されていなかったことになります。

KeyTrapは、1999年に発表されたDNSSECの仕様であるRFC-2035からすでに存在している

KeyTrapは、1999年に発表されたDNSSECの仕様であるRFC-2035からすでに存在している

KeyTrapへの対処法

研究者は、すべての DNS サーバーのソフトウェア開発者および主要なDNSサービスプロバイダーに対して注意を促し、パッチを速やかに適用するよう推奨しています。CVE-2023-50387を修正するアップデートとセキュリティ勧告が、PowerDNSNLnet Labs UnboundInternet Systems Consortium BIND9で利用可能です。DNSサーバーの管理者であれば、常に最新のバージョンにアップデートをしておきましょう。

しかし、KeyTrapの脆弱性については、DNSSECの仕様を見直す必要があり、簡単には修正することはできません。この脆弱性が特定の実装ではなく、DNSSEC標準の一部であるため、DNSのソフトウェア開発者がリリースするパッチは、完全に問題を解決するわけではありません。リサーチャーは、「パッチを適用したリゾルバーに対してKeyTrapを起動すると、CPU使用率は100%になりますが、まだレスポンスすることができます。」と述べています。

この脆弱性が実際に悪用される可能性は依然として残っており、その結果、リゾルバーが予測不可能な障害を起こす可能性があります。このような事態に備え、企業のネットワーク管理者は、あらかじめバックアップDNSサーバーのリストを用意しておき、必要に応じて切り替えることで、ネットワークの正常な機能を維持し、ユーザーが必要なウェブリソースを支障なく閲覧できるようにしておくことを推奨します。

 

]]>
full large medium thumbnail
心当たりのない確認コードが届いた場合の対処方法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/unexpected-login-codes-otp-2fa/35805/ Tue, 20 Feb 2024 19:18:37 +0000 https://blog.kaspersky.co.jp/?p=35805 ここ数年で私たちがインターネットバンキングなどのWebサイトやアプリに、パスワードともう1つの認証方法の両方を使用してログインすることが習慣化しました。認証方法には、メール、Eメール、プッシュ通知で送信されるワンタイムパスワード(OTP)、認証アプリで生成されたコード、または専用のUSBデバイス(「トークン」)などがあります。このようなログイン方法は、2要素認証(2FA)と呼ばれ、ハッキングされるリスクを低減します。パスワードの漏えいや推測だけでは、アカウントを乗っ取ることはもはやできません。しかし、どこにもログインしようとしていないのに、突然ワンタイムコードが送られてきたり、確認コードを入力するように要求された経験はありますか?このブログではそんなときの対処法を解説します。

このような状況が起こりうる理由は3つあります。

  1. ハッキングの試み。ハッカーが何らかの方法であなたのパスワードを学習、推測、または窃取し、それを使用してアカウントにアクセスしようとしています。ハッカーがアクセスしようとしているサービスから受け取ったメッセージ自体は、正当なものです。
  2. ハッキングの準備。ハッカーがあなたのパスワードを知ってしまったか、またはあなたを騙してパスワードを開示させようとしています。この場合のOTPメッセージは、フィッシングの一種です。メッセージは本物と非常によく似ていますが、偽物です。
  3. 単なる間違い。オンラインサービスは、最初に携帯メールで確認コードを要求し、次にパスワードを要求する、または1つのコードだけで認証するように設定されていることがあります。この場合、他のユーザーがタイプミスをして、自分の電話番号やメールアドレスではなく、あなたのものを入力した可能性があります。その結果、あなたがそのコードを受け取ることになります。

このように、このメッセージの背後には悪意がある可能性があります。しかし、幸いなことに、この段階では取り返しのつかない被害は発生していません。適切な対処をすれば問題を回避することができます。

コードリクエストが届いた場合

最も重要なことは、メッセージが「はい/いいえ」形式の場合は確認ボタンをクリックしないことどこにもログインしないこと受信したコードを誰とも共有しないことです。

コードリクエストのメッセージにリンクが含まれている場合は、リンクをたどらないでください。

これらは、誰にでもできる最も重要なルールです。ログインを許可しない限り、あなたのアカウントは安全です。しかし、あなたのアカウントのパスワードが攻撃者に知られている可能性は極めて高いでしょう。したがって、次にすべきことは、このアカウントのパスワードを変更することです。手動でWebアドレスを入力し、関連するサービスのページに移動します。メッセージのリンクをたどってページに移動してはいけません。パスワードを入力し、新しい(ここが重要です!)確認コードを取得してから、それを入力します。次に、パスワード設定に移動し、新しい強力なパスワードを設定します。別のアカウントで同じパスワードを使用している場合は、そのパスワードも変更する必要がありますが、アカウントごとに一意のパスワードを作成するようにしてください。多数のパスワードを覚えておくのは大変だと思います。そこで、専用のパスワードマネージャーに保存することを推奨します。

このパスワードを変更するステップは、急ぐ必要はありませんが、先延ばしも禁物です。銀行など貴重なアカウントの場合、OTPがテキストで送信されると、攻撃者が傍受しようとする可能性があります。OTPの傍受は、SIMスワップ(新しいSIMカードを番号に登録すること)や、SS7通信プロトコルの欠陥を利用した通信事業者のサービスネットワーク経由の攻撃によって行われます。したがって、悪意ある第三者がこのような攻撃を試行する前に、パスワードを変更しておくことが重要です。一般的に、テキストで送信されるワンタイムコードは、認証アプリやUSBトークンよりも信頼性が低くなります。最もセキュアで、使用可能な2要素認証方式を常に使用することを推奨します。各種の2要素認証方式のレビューは、こちらを参照してください

大量のOTPリクエストを受信した場合

ログインを確認させようと企んで、ハッカーが大量のコードを送りつけてくることがあります。ハッカーが何度もアカウントへのログインを試みるのは、あなたが間違えて「確認」をクリックするか、大量メッセージのしつこさに耐え切れずに2FAを無効化するかの、いずれかの行動を期待しているためです。大切なのは、冷静さを失わず、どちらの行動もとらないことです。最善の方法は、前述の通りサービスのサイトに行き(リンクからではなく、手動でサイトを開く)、すぐにパスワードを変更することです。しかしそのためには、自分自身で正当なOTPを受け取り、入力する必要があります。一部の認証リクエスト(たとえば、Googleサービスへのログインに関する警告)には、「いいえ、私ではありません」というボタンが別に用意されています。通常、このボタンをクリックすると、サービス側の自動化システムが攻撃者と新しい2FAリクエストを自動的にブロックします。別の方法として、最も便利とは言えませんが、スマホをマナーモードか機内モードに切り替えて、コードの大量送信が一段落するまで30分ほど待つという方法もあります。

誤って知らない人のログインを確認してしまった場合

これは最悪のケースです。攻撃者にアカウントへの侵入を許してしまった可能性があるからです。攻撃者は、すぐに設定やパスワードを変更するので、あなたは迅速に対処しなければなりません。このシナリオに関するアドバイスは、こちらで参照できます。

自分の身を守る方法

この場合の最善の防御方法は、犯罪者より一歩先んじることです。「汝平和を欲さば、戦への備えをせよ」という格言に従いましょう。そこで役に立つのが、当社のセキュリティソリューションです。このソリューションはメールアドレスと電話番号の両方にリンクされたアカウントの流出を、ダークウェブも含めて追跡します。家族全員の電話番号とメールアドレスを追跡対象として登録できます。アカウントデータが公開されたり、流出したデータベースから発見されたりした場合、カスペルスキー プレミアムはアラートを通知して対処方法をアドバイスします。

サブスクリプションに含まれるカスペルスキー パスワードマネージャーは、侵害されたパスワードについて警告し、パスワードの変更を支援します。強度が高く解読困難な新しいパスワードの生成も可能です。また、2要素認証トークンを追加したり、Google Authenticatorから数クリックで簡単にコードを転送したりすることもできます。個人ドキュメントをセキュアに保管可能なストレージは、パスポートのスキャン画像や個人的な写真など、最も重要なドキュメントやファイルを暗号化された形式で保護し、自分だけがアクセスできるようにします。

さらに、ログイン、パスワード、認証コード、保管されたドキュメントは、パソコン、スマホ、タブレットなど、任意のデバイスからアクセス可能です。万が一スマホを紛失しても、データもアクセスも失うことなく、新しいデバイスで簡単に復元することができます。また、すべてのデータへのアクセスに必要なパスワードはメインパスワード1つだけです。このパスワードは、ユーザーの頭以外の場所には保存されません。また、銀行標準のAESデータ暗号化に使用されます。

「ゼロ開示原則」により、当社の社員であっても、ユーザーのパスワードやデータにアクセスすることはできません。当社のセキュリティソリューションの信頼性と有効性は、多くの独立系機関によるテストによって検証されています。最近の例を1つ挙げると、ヨーロッパの独立系機関であるAV-Comparativesによるテストにおいて、当社の個人向け保護ソリューションは2023年の年間最優秀製品賞を受賞しています。

]]>
full large medium thumbnail
仮想通貨ドレイナーとその回避策 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/what-is-a-crypto-wallet-drainer/35783/ Fri, 16 Feb 2024 01:33:25 +0000 https://blog.kaspersky.co.jp/?p=35783 最近、暗号資産を標的とする詐欺師の間で、新しい悪意のあるツール「仮想通貨ドレイナー(ウォレットドレイナー)」の人気が高まっています。この記事では、仮想通貨ドレイナーとは何か、どのように機能するのか、経験豊富なユーザーであっても危険なのはなぜか、そして被害に遭わないための対策について説明します。

仮想通貨(ウォレット)ドレイナーとは

仮想通貨ドレイナーは、1年以上前に出現して以来、仮想通貨所有者を標的としているマルウェアの一種です。仮想通貨ドレイナーは、仮想通貨ウォレットのすべて、または最も価値のある資産だけを吸い上げ、それをドレイナーの運用者のウォレットに移動させることで、被害者の仮想通貨ウォレットを自動的に空にするように設計されています。

たとえば、2022年12月17日に発生した14件のBored Ape NFTの盗難の事例(被害総額100万ドル以上)を見てみましょう。詐欺師は、ロサンゼルスに拠点を置く実在する映画スタジオ、フォルテ・ピクチャーズの偽サイトを開設し、同社の代表者として特定のNFTコレクターに連絡しました。彼らはコレクターに、NFTに関する映画を製作中であることを告げました。次に、彼らはコレクターに、Bored Ape NFTの知的財産権(IP)をライセンス供与し、映画で使用することができるかどうかをコレクターに尋ねました。

詐欺師によりますと、これには「Unemployd」(表面上は、NFT関連の知的財産を使用許諾するためのブロックチェーンプラットフォーム)で契約を結ぶ必要がありました。しかし、被害者がこの取引を承認した後、被害者が所有する14件のBored Ape NFTがすべて、わずか0.00000001 ETH(当時のレートで約0.001米ドル)で詐欺師に送金されたことが判明しました。

「契約」への署名要求の様子(左)と、取引が承認された後に実際に起こったこと(右)。 出典

この手口の大部分は、ソーシャルエンジニアリングによるものです。詐欺師は1か月以上に渡って、メール、電話、偽の法的文書などを使って、被害者に言い寄りました。しかし、この手口の最も重要なポイントは、被害者の暗号資産を詐欺師の所有物にしてしまった取引です。詐欺師は最初から取引のタイミングを見計らっていました。

仮想通貨ドレイナーの手口

最近の仮想通貨ドレイナーは、被害者のウォレットを空にするほとんどの作業を自動化することができます。まず、ウォレット内の暗号資産のおおよその価値を調べ、最も価値のあるものを特定します。次に、取引やスマートコントラクトを作成し、素早く効率的に資産を吸い上げることを可能にします。そして最後に、不正な取引を難読化し、可能な限り曖昧にすることで、取引の承認後に何が起こるのかを正確に理解することを難しくしています。

詐欺師はドレイナーで使用し、ある種の仮想通貨に関するプロジェクトの偽サイトを作成します。このようなプロジェクトは、互いに類似した現在人気のあるドメイン拡張子を使用する傾向があるため、詐欺師もこれを利用して似通ったドメイン名を登録します。

次に詐欺師は、被害者をこれらのサイトに誘導するテクニックを使います。よく使われる口実は、エアドロップやNFTミンティング(NFTを新たに発行すること)です。ユーザーの活動に報酬を与えるこれらのモデルは、仮想通貨の世界で人気があるため、詐欺師は迷わずそれを利用します。

NFTのエアドロップや新しいトークンのリリースを宣伝するX(旧Twitter)の広告。 出典

また、稀な手口も確認されました。詐欺師は最近、偽のWebサイトにユーザーを誘導するために、ハッキングされたX(旧Twitter)アカウントを使用しました。そのアカウントはなんと、ブロックチェーンセキュリティ企業に属するものだったのです。

詐欺サイトに掲載された、限定版と思われるNFTコレクションのX(旧Twitter)広告。 出典

詐欺師はよく、ソーシャルメディアや検索エンジンに広告を掲載し、被害者を偽サイトに誘導することも知られています。後者の場合、実際の暗号通貨プロジェクトの顧客が、興味のあるWebサイトを検索するのを待ち伏せして、偽のサイトへ誘導することができます。URLをよく確認しないユーザーは、検索結果の上に常に表示される「スポンサー提供」の詐欺リンクをクリックし、偽のWebサイトにアクセスする羽目になります。

仮想通貨ドレイナーを含む詐欺サイトが、Google広告に表示されています

仮想通貨ドレイナーを含む詐欺サイトが、Google広告に表示されている

そして、疑うことを知らない暗号資産の所有者は、仮想通貨ドレイナーが生成した取引を提示され、署名を要求されます。署名してしまうと、詐欺師のウォレットに直接資金が送金されることもあれば、被害者のウォレット内の資産を管理する権利がスマートコントラクトにされるなど、より巧妙なシナリオが発生することもあります。いずれにしても、一度意のある取引が承認されると、貴重な資産のすべてがあっという間に詐欺師のウォレットに吸い上げられてしまいます。

仮想通貨ドレイナーの危険性

仮想通貨を標的とする詐欺師の間で、ドレイナーの人気は急速に高まっています。仮想通貨ドレイナー詐欺に関する最近の調査によりますと、2023年には32万人以上のユーザーが被害に遭い、被害総額は3億ドル弱に上りました。リサーチャーが記録した不正取引には、それぞれ100万ドル以上の価値があるものが12件ほど含まれています。1回の取引で奪われた戦利品の最高額は、2400万ドルを超える額に達しました。
不思議なことに、長年仮想通貨を取引するユーザーであっても、初心者と同じようにこのような詐欺の餌食になります。たとえば、Nest Walletを開発したスタートアップの創業者は最近、エアドロップを約束する偽のWebサイトを使用した詐欺師によって、125,000ドル相当のstETHを盗まれました

仮想通貨ドレイナーから身を守る方法

  • 「卵は一つのカゴに盛るな」プロジェクトの日々の管理に必要な資金の一部だけを仮想通貨のホットウォレットに保管し、暗号資産の大部分はコールドウォレットに保管するようにしましょう。
  • 安全を第一に考え、複数のホットウォレットを使用しましょう。1つはドロップハンティングなどのWeb3活動に使用し、もう1つはこれらの活動の運営資金を保管するために使用して、利益はコールドウォレットに移動するようしましょう。ウォレット間の送金には追加手数料を支払う必要がありますが、エアドロップに使用する空のウォレットから、詐欺師が何かを盗むことはほぼ不可能です。
  • アクセスしようとするWebサイトのURLを繰り返しチェックしてください。少しでも不審な点があれば、立ち止まってすべてを再確認するようにしましょう。
  • 検索結果のスポンサー提供のリンクはクリックしないでください。オーガニック検索結果のリンク、つまり「スポンサー」と表示されていないリンクのみを使用してください。
  • すべての取引の詳細を注意深く確認しましょう。
  • ブラウザーのセキュリティを強化する拡張機能を使用して取引を確認しましょう。これにより、詐欺が疑われる取引を特定し、取引の結果何が起こるかを正確に表示することができます。
  • 最後になりますが、暗号資産を取り扱うすべてのデバイスには、信頼性が高いセキュリティ製品をインストールしておきましょう。
当社のソリューションが仮想通貨の脅威をユーザーに知らせる画面

当社のソリューションが仮想通貨詐欺の脅威をユーザーに知らせる画面

ちなみに、当社のソリューションでは、仮想通貨を狙う脅威に対する多層的な保護が実現できます。スマホ、タブレット、コンピューターなど、すべてのデバイスで総合的なセキュリティを使用するようにしましょう。カスペルスキー プレミアムは、複数のプラットフォームで使用可能な優れたソリューションです。基本的なセキュリティ機能と高度なセキュリティ機能がすべて有効になっていることをチェックし、暗号通貨のホットウォレットコールドウォレットの両方の保護に関する詳細な手順を記載した記事を参照してください。

]]>
full large medium thumbnail
ネット恋愛にはリスクも 知っておきたいオンラインデートの心得 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/navigating-online-dating-risks/35759/ Tue, 13 Feb 2024 03:06:40 +0000 https://blog.kaspersky.co.jp/?p=35759 恋愛する相手を探すマッチングアプリやWebサイト、個人情報を偽って他人になりすまし、ネット上で交際する「キャットフィッシング」、さらに過去、現在の恋愛相手や関係者を付きまとうストーカーなど、最近の恋愛環境は非常に複雑化しています。ティンダーなどの出会いアプリが流行る前の出会いにも少々戸惑うことがありましたが、ここまで複雑ではなかったように思います。

問題をややこしくしているのは、オンライン上で会話をしている相手の身元が不明確であることと、ネットストーキング(ネトスト)の標的となる可能性が誰にでもあるという点です。

実際、当社は最近、こうしたリスクや懸念すべき実態を把握するために、ネットストーキングに関する調査を外部のリサーチ会社に依頼しました。21か国、21,000人以上を対象としてアンケートを行ったところ、恋人を探している最中にオンラインで迷惑行為や嫌がらせを経験したという人々の数が、驚くほど増加していることが明らかになりました。

調査結果

調査結果によりますと、回答者の34%が付き合い始めたばかりの相手のSNSアカウントをGoogleで検索したり、チェックしたりすることは「当然行うべき事前調査」の1つであると考えています。一見無害に見えるものの、回答者の23%が新しい恋愛対象から何らかのネットストーカー行為に遭遇したと回答しています。このことから、すぐにGoogle検索に頼り、少しばかり先走った行動を起こしてしまう一部の人々の存在が明らかです。

さらに、回答者の90%以上が、自分の位置情報へのアクセスを許可するパスワードを交際相手と共有している、または共有することを検討していると述べています。これは非常に懸念すべきことです。表向きには何の心配もないように見えますが一歩行き過ぎると、それはストーカー行為に発展する可能性が十分にあります。ストーカー行為に使用される「ストーカーウェア」とは、ユーザーの位置情報を継続的に監視し、メッセージを盗み見ることができるソフトウェアで、気づかぬうちに勝手にインストールされることがあります。

どのように身を守るべき?エキスパートからのアドバイス

オンラインセキュリティ、デート、安全の分野における第一人者からのアドバイスを下にまとめました。バレンタインデーの時期に、恋愛を安全に楽しむのに役立つことでしょう。

パスワードを強化して安全対策を

相手のネット上のプロフィールを調べて事実を確認する方法

  • そのプロフィールの逆画像検索を実行してみましょう。複数のページで色々な名前が表示される場合は、おそらくなりすましです。
  • デート相手の話やプロフィールの詳細に矛盾がないか探してみましょう。
  • 突然の激しい愛情表現や金銭の要求には、十分に注意してください。
  • 実際に会う前に、ビデオ通話などを使用して相手の身元を確認しましょう。

自分自身のプロフィールの安全性を最大限に高めるための工夫:

  • 自分のSNSアカウントのプライバシー診断を行い、何が公開されているかを把握しましょう。
  • プライバシー設定をカスタマイズして、あなたの投稿や個人情報を見ることができる相手を管理してください。
  • 友達やフォロワーのリストを定期的に確認して、誰があなたの情報にアクセスできるかを確認しましょう。

情報共有に関する戦略的なガイドライン:

  • 現在地、職場、日課などが明らかになるような詳細は、投稿しないようにしましょう。
  • 感情的な内容や親密な内容を共有する前に、よく考えてください。
  • メタデータやその他の識別可能な手がかり(位置情報タグなど)が、写真に含まれていないか注意しましょう。これらにより、あなたの身元や居場所、または非公開にしておきたい詳細が明らかになる可能性があります。
  • 交際初期には、共有する情報の種類に個人的な境界線を設定しましょう。個人的な詳細は、時間をかけて信頼関係を築く中でのみ、徐々に明らかにするようにしてください。
  • 自分の直感を信じましょう。何かおかしいと感じたら、一歩下がって少し時間をおいてください。
  • 共有したデータが使用されることで、あなたのプロフィールが特定されたり、身体の安全を脅かされたりする結果となる可能性があることを考慮してください。

ネット上で出会う際の万全な安全対策:

  • 初対面の場は、明るく人通りの多い場所を選びましょう。
  • 住所や他人に知られたくない情報が明らかになる可能性がある私物を共有したり、見せたりすることは避けましょう。
  • 待ち合わせ場所までの往復の交通手段は、自分で手配するようにしてください。
  • あなたの現在位置を友達や家族に知らせることができる仕組みを用意しておきましょう。

デジタル時代の恋愛事情を受け入れるとともに、ご自身の安全と心身の健康状態も大切にしてください。上記のアドバイスに従うことで、デジタルライフと実生活の両方で自分の身を守りながら、不安を感じることなくオンラインデートの世界を楽しむことができるでしょう。また、当社の優れたセキュリティソリューションにも、個人情報やプライバシーを保護する機能が搭載されています。ぜひ使用をご検討ください。

]]>
full large medium thumbnail
DNS経由で暗号通貨を盗む方法 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/fake-macos-activator-steals-bitcoin-exodus-uses-dns/35746/ Fri, 09 Feb 2024 03:00:54 +0000 https://blog.kaspersky.co.jp/?p=35746 クラック版(海賊版)ゲームやアプリを使用したマルウェアの拡散は、昔から確認されているサイバー犯罪者の古い手口の1つです。信じられないかもしれませんが、ロビン・フッドの存在を信じ、海賊版Webサイトからクラック版ソフトウェアやゲームをダウンロードしても絶対に安全だと考えるような、騙されやすい人は2024年現在でも多くいます。脅威の種類自体は古いものです。しかしサイバー犯罪者は、被害者のコンピューターのセキュリティを回避してマルウェアを配信する新しい方法を次々と編み出しています。

当社は最近、新しいバージョンのmacOS(13.6以降)を実行しているAppleコンピューターを標的として、特定のドメインネームシステム(DNS)機能を利用して悪意のあるペイロードをダウンロードする新しいキャンペーンを発見しました。被害者は、クラック版のバージョンの人気アプリを無料ダウンロードするよう勧められます。その手に引っかかった被害者には何が待ち受けているのでしょうか?

アクティベーションの偽装

クラック版アプリが収録されているとされるディスクイメージをダウンロードすると、被害者はアプリケーションフォルダーに2つのファイルをコピーするよう要求されます。2つのファイルは、アプリそのものと、いわゆる「アクティベーター」です。アプリのみをコピーして起動しただけでは、アプリは実行されません。マニュアルによりますと、クラック版アプリを最初に「アクティベート」する必要があるということです。当社が分析したところ、アクティベーターは自体は高度な処理は何も行いません。単にアプリケーションの実行可能ファイルの先頭から数バイトを削除して、実行可能な状態にするだけです。言い換えれば、サイバー犯罪者は事前にクラックされたアプリを改変し、最初に「アクティベート」しない限り実行できないようにしているのです。お察しの通り、このアクティベーターにマルウェアが潜んでいます。実行時に管理者権限を要求し、それを使用してシステムにダウンローダースクリプトをインストールします。次に、このスクリプトはWebから追加のペイロードをダウンロードします。これは、マルウェア運用者からのコマンドを時々要求するバックドアです。

インストールマニュアル、アクティベーターのウィンドウ、管理者パスワードの入力ダイアログ

インストールマニュアル、アクティベーターのウィンドウ、管理者パスワードの入力ダイアログ

DNS経由のリンク

悪意のあるスクリプトをダウンロードするために、アクティベーターは、風変わりで一見無害に見えるツールを使用します。それが、ドメインネームシステム(DNS)です。DNSとセキュアDNSに関する記事を以前投稿しましたが、サービスの技術的な特徴については触れませんでした。各DNSレコードは、サーバーのインターネット名とIPアドレスをリンクするだけではありません。「TXTレコード」と呼ばれる、サーバーに関する自由形式のテキスト記述も含めることができます。悪意のあるアクターはこれを悪用し、TXTレコード内に悪意のあるコードの断片を埋め込みました。アクティベーターは、悪意のあるドメインに属する3つのTXTレコードをダウンロードし、そこからスクリプトを構築します。

一見複雑に見えますが、このセットアップには多くの利点があります。まず、アクティベーターは特に不審なことは何もしません。WebアプリケーションがDNSレコードをリクエストします。これが通信セッションの開始方法です。次に、悪意のあるアクターは、ドメインのTXTレコードを編集することによりスクリプトを容易に更新し、感染パターンや最終的なペイロードを変更できます。そして最後に、悪意のあるコンテンツをWeb上から削除することは、ドメインネームシステムが分散型であるという性質上、容易なことではありません。これらのTXTレコードは、それ自体では何の脅威ももたらさない悪意のあるコードの断片に過ぎません。そのため、インターネットサービスプロバイダーや企業にとっては、ポリシー違反を検知することさえ困難なのです。

ラスボス

定期的に実行されるダウンロードスクリプトにより、攻撃者は悪意のあるペイロードを更新し、被害者のコンピューター上で任意の動作を実行することができるようになります。当社が分析した時点では、攻撃者は暗号通貨を盗むことに関心を示していました。このバックドアは、Exodusや Bitcoinのウォレットがないか被害者のコンピューターを自動的にスキャンし、トロイの木馬化されたバージョンに置き換えます。感染したExodusウォレットはユーザーのシードフレーズを盗み、感染したBitcoinウォレットは秘密鍵の暗号化に使用する暗号鍵を盗みます。後者は、被害者に代わって攻撃者が送金時に署名を行うことを可能にします。これが、海賊版アプリで数十ドルを節約しようとして、それよりはるかに莫大な額の暗号通貨を結果的に失うことになる仕組みです。

仮想通貨ウォレットへの攻撃から身を守るには

目新しくはありませんが、依然として間違いない対策を述べます。このような脅威を回避し、被害に遭わないためには、公式マーケットプレイスからのみアプリをダウンロードするようにしてください。開発者のWebサイトからアプリをダウンロードする前に、それが正規のアプリであり、数多くあるフィッシングサイト由来のものではないことを確認してください。

クラック版のアプリをダウンロードしようと考えているなら、もう一度よく考えてみましょう。「誠実で信頼できる」海賊版サイトは、エルフやユニコーンと同じくらい稀です。

自分のコンピューターのリテラシー、注意深さ、細部に向ける注意力をどれほど高く見積もっているとしても、スマホ、タブレット、パソコンなどのすべてのデバイスで総合的なセキュリティ製品を使用するようにしましょう。カスペルスキー プレミアムは、複数のプラットフォームで利用可能な優れたソリューションです。基本的なセキュリティ機能、高度なセキュリティ機能がすべて有効化されているかチェックしましょう。暗号通貨を所有している場合は、上記に加えて、暗号通貨のhotcoldの両方を保護する詳細な手順に関する記事を一読することをお勧めします。

]]>
full large medium thumbnail
インターポールの捜査に協力 独自の脅威のデータを共有 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/kaspersky-cyberthreat-data-shared-with-interpol-24/35728/ Thu, 08 Feb 2024 05:00:03 +0000 https://blog.kaspersky.co.jp/?p=35728 当社は、国際刑事警察機構(インターポール)とその「Gateway」プロジェクトパートナーが参加する「Synergia」(シナジア)作戦に参加し、国際的なサイバー犯罪との闘いに寄与しました。この作戦は、50か国以上のインターポール加盟国にまたがるもので、フィッシング、マルウェア、ランサムウェア攻撃に関連する悪質なインフラの特定と撲滅を目的としたものでした。

インターポールの職員(出典

2023年9月~11月の3ヶ月間の作戦実施期間中、インターポールは、加盟国の法執行機関とパートナーである民間組織との間のサイバーインテリジェンスデータの共有、利用を調整し、60本以上のサイバー活動レポートを作成しました。当社は、当社のエキスパートが継続的に更新しているKaspersky Threat Intelligence(脅威インテリジェンス)の脅威データを提供し、インターポールの活動を支援しました。これらのデータは、世界各地で特定された悪意のあるインフラに関するものです。

今回の共同作戦のなかで、さまざまなサイバー犯罪に関連する約1,300台の不審なサーバーが特定されました。その結果、捜査当局はこれらの悪質なサーバー7割に対して停止措置を講じることに成功し、また複数の国で容疑者と思われる人物を逮捕しました。

シナジア作戦の主な成果

  • 当局は31人を拘束し、さらに70人の容疑者を特定しました。
  • 停止措置が講じられたC2サーバーのほとんどはヨーロッパで、26人が逮捕されました。
  • 香港では153台、シンガポールでは86台のサーバーが、それぞれの国の警察によって停止させられました。
  • 南スーダンとジンバブエでは、アフリカ大陸における停止措置が最も多く、4人の容疑者が逮捕されました。
  • ボリビアは、マルウェアとそれによって生じる脆弱性を特定するため、複数の国の機関と協力しました。
  • クウェートは、インターネットサービスプロバイダーと緊密に連携し、被害者の特定、現地調査の実施、さらに影響を軽減するための技術指導を行いました。

共同作戦に参加した国々

アルバニア、アルジェリア、オーストラリア、バングラデシュ、ベラルーシ、ベルギー、ベナン、ボリビア、ボスニア・ヘルツェゴビナ、ブラジル、カメルーン、カナダ、中国、キプロス、チェコ、ドミニカ共和国、エクアドル、エストニア、エスワティニ、フランス、ジョージア、ギリシャ、ガイアナ、インド、アイルランド、イスラエル、クウェート、ラトビア、レバノン、リヒテンシュタイン、モルディブ、モーリシャス、モルドバ、ネパール、ニカラグア、ナイジェリア、パレスチナ、ポーランド、カタール、ロシア、サンマリノ、シンガポール、韓国、南スーダン、スペイン、スリランカ、スイス、タンザニア、タイ、トンガ、チュニジア、トルコ、ウガンダ、アラブ首長国連邦、ウルグアイ、ジンバブエ

インターポールの公式発表はこちら(英語)をご覧ください。

]]>
full large medium thumbnail
Facebookのリンク履歴とは?無効にすべき理由と方法について | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/how-to-turn-off-facebook-link-history/35711/ Tue, 06 Feb 2024 22:34:40 +0000 https://blog.kaspersky.co.jp/?p=35711 Facebookは最近、「リンク履歴」と呼ばれる新機能を開始しました。この投稿では、リンク履歴とは何か、Facebookがこの機能を導入した理由、無効にするべき理由、そして無効にする方法について説明します。

Facebookのリンク履歴とは?

Facebookのモバイルアプリには、ブラウザーが組み込まれています。Facebookに投稿された外部リンクを開く際はいつでも、このブラウザーが使用されます。最近、Facebookは、ユーザーがクリックしたリンクの履歴をすべて収集し、ターゲティング広告を表示する目的でこのデータを使用することを決定しました。

Facebookはなぜそんな決定をしたのでしょうか?それは、Facebookは世界最大のSNSであるだけでなく、最も強力なグローバル広告プラットフォームの1つでもあるからです。その規模と能力は、Googleに次ぐものです。以前は、ユーザーの興味に関するデータを収集し、それに基づいてターゲティング広告を表示する目的で、FacebookはサードパーティのCookieを使用していました。しかし、世界で最も普及しているブラウザーであるGoogle Chromeでは、サードパーティのCookieのサポートが段階的に廃止されています。

Googleは、ユーザーを追跡して広告のターゲティングを行う目的で、「Google広告トピック」として知られる独自の仕組みを考案しました。データを収集するために、この技術はGoogle ChromeブラウザーとAndroid OSを積極的に使用しています。少し前に、このGoogleによる追跡を無効にする方法を説明しました。

現在Facebookは、各種のモバイルアプリに組み込まれたブラウザー経由でユーザーを追跡しています。Facebook側は、ユーザーがこれまで開いた任意のリンクをいつでも見つけることができるという利便性をアピールしています。しかし、一般ユーザーにとってそれ以外のメリットは特にありません。Facebookがあなたの行動を逐一追跡するのが不安なのであれば、この機能を無効にするのが一番です。ありがたいことに、簡単に無効化することができます。

Facebookのリンク履歴を無効にする方法

まず明確にしておきたいのは、リンク履歴はFacebookのモバイルアプリでのみ利用可能であるということです。このソーシャルネットワークをWebバージョンで使用する場合、リンク履歴の機能は利用できません。また、Facebook Liteでも(単にブラウザーが組み込まれていないという理由で)、メッセンジャーアプリでも(少なくともブログ公開時点では)利用できません。

Facebookにリンク履歴機能が実装された後初めて、ユーザーがSNS上に投稿された外部リンクを開くと、この機能の使用に同意することを要求されます。

リンク履歴を有効にする許可を要求するポップアップは1回だけ表示される

リンク履歴を有効にする許可を要求するポップアップは1回だけ表示される

お察しの通り、リンク履歴は初期設定で有効になっています。そのため、ほとんどのユーザーは、Facebookに邪魔されずに自分の好きなページを表示させたいと思うばかりに、あまり深く考えずに同意してしまいがちです。

リンク履歴の使用を既に有効にしてしまっていて、無効化したい場合、簡単な方法が2つあります。

リンク履歴を無効にする方法 その①

  • Facebookアプリで、メニューのアイコンをタップして開きます。Androidの場合は右上の3本線、iOSの場合は右下のプロフィールアイコンです。
  • 設定とプライバシー]に移動します。最も簡単な方法は、歯車アイコンをタップすることです。
  • Androidの場合は[ブラウザー]まで下にスクロールして、タップします。iOSは[設定]をタップして、その次のページで[ブラウザー]をタップします。
  • 開いたウィンドウで、[リンク履歴を許可]をオフに切り替えます。
  • また、[リンク履歴]の横にある[クリア]ボタンもタップし、これまで収集されたリンク履歴もついでに削除しておきましょう。
[設定とプライバシー]で、Facebookのリンク履歴をオフにする

[設定とプライバシー]で、Facebookのリンク履歴をオフにする

リンク履歴を無効にする方法 その②

  • アプリで、Facebookに投稿されたリンクをタップします。これにより、アプリに組み込まれたブラウザーが開きます。
  • ブラウザー上で、省略記号アイコン(Androidでは右上隅、iOSでは右下)をタップします。
  • 設定に移動]を選択します
  • 開いたウィンドウで、[リンク履歴を許可]をオフに切り替え、[リンク履歴]の横にある[クリア]ボタンをタップします。

組み込まれたブラウザー経由でFacebookのリンク履歴をオフにする(iOS)

これで完了です。Facebookは、リンク履歴を収集しなくなります。ついでに、Google広告トピックを無効にして、Googleによる追跡の停止も忘れずに行っておきましょう。一般的なオンライン追跡を回避するには、当社の製品のプライベートブラウズ機能を使用してください。

]]>
full large medium thumbnail
テレビ、スマホ、スマートスピーカーによる盗聴 | カスペルスキー公式ブログ https://blog.kaspersky.co.jp/smart-speaker-tv-smartphone-eavesdropping/35686/ Mon, 05 Feb 2024 02:00:26 +0000 https://blog.kaspersky.co.jp/?p=35686 スマートデバイスが、内蔵マイクを通じて会話を盗み聞きしているという疑惑は、何年も前から耳にします。誰かが職場で新しいコーヒーメーカーについて話していたら、コーヒーメーカーに関するオンライン広告がスマホに現れたというような話を聞いたことがあるでしょう。当社は以前、既にこの仮説を検証し、広告主は盗聴していないと結論付けました。広告のターゲティングには、はるかに効果的な方法を使用しているからです。しかし、その方法が変わりつつあるのかもしれません。最近、マーケティング会社2社が、まさにそのような盗聴に基づいたターゲティング広告を提供していることを公に自負しているというニュースが流れました(英語の記事はこちらこちら)。両社とも後に発言を撤回し、Webサイトから該当する記述を削除しています。それでも、当社はこの状況についてもう一度調査することにしました。

企業側の主張

顧客との対話、ポッドキャスト、ブログで、CMGとMindsiftが話した内容はほぼ同じでした。しかしながら、技術的な詳細については言及しませんでした。スマホやスマートテレビは、事前に設定されたキーワードを認識するのに役立ち、その後、カスタムオーディエンスの構築に使用されるという話です。これらのオーディエンスは、電話番号、メールアドレス、匿名の広告IDの形式で、各種のプラットフォーム(YouTubeやFacebookからGoogle AdWordsやMicrosoft Advertisingまで)にアップロードすることが可能であり、ユーザーをターゲットにした広告に活用することができます。

カスタムオーディエンスをアップロードするという2番目の話は、いかにももっともらしく思えます。しかし最初の話は、単に漠然とした話として片づけてよいか疑問の余地があります。企業側の声明では、情報収集に使用するアプリや技術が何であるかは、まったく明らかにされていません。しかし、その長い(今は削除されている)ブログ記事の中で最も目立っていたのは、技術とはまるで関係がない次の文章です。

「当社には、あなた方(一般の人々)が考えていることがわかります。これは合法と言えるでしょうか?電話やデバイスがユーザーの声を聴くこと自体は法的に問題ありません。新しいアプリのダウンロードやアップデートで、消費者に何ページにもわたる使用規約を提示する際に、その細則のどこかにアクティブリスニングが含まれていることがよくあります。」

ジャーナリストからの問い合わせを受け、CMGはブログからこの記事を削除し、謝罪と釈明のコメントを発表しました。盗聴はしておらず、ターゲティングデータに関しては「ソーシャルメディアやその他のアプリケーションから情報を入手している」と補足しています。

もう1つの企業であるMindsiftは、自社のWebサイトからこの広告形態に関するマーケティングメッセージをこっそりとすべて削除しました。

両企業が嘘をついたのはいつか?

明らかに、マーケティング担当者が、音声認識広告を約束したクライアント、またはメディアに向けて「失言」をしました。おそらくクライアントに良い印象を与えたかったのでしょう。その理由は次の通りです。

  • 正規のアプリでマイクが使用されている場合、最近のOSではそのことが明確に表示されるようになっています。また、例えば天気予報アプリが常にマイクの音を聞いていて、ユーザーの口から「コーヒーメーカー」という言葉が出るのを待ち構えている場合、世間でよく使用されているOSであれば通知パネルにマイクのアイコンが点灯します。
  • スマホやその他のモバイルデバイスでは、盗聴が継続されるとバッテリーが消耗し、データが無駄に消費されます。ユーザーがこんな挙動に気づけば、その企業に対して不評や苦情が波のように押し寄せる結果になることでしょう。
  • 何百万人ものユーザーの音声ストリームを常時分析するには、膨大なコンピューターパワーが必要となります。コストの面を考えてもあまり賢いとは言えません。広告の利益では、そのようなターゲティング運用のコストをカバーできないからです。

世間一般で信じられているイメージとは裏腹に、広告プラットフォームのユーザー1人当たりの年間収益は非常に微々たるものです。アフリカでは4ドル未満、世界平均で約10ドル、米国では最大60ドルです。この数字が利益ではなく収入であることを考えると、盗聴につぎ込む資金などまったく残っていないということになります。信じられないのであれば、例えばGoogle Cloudの音声認識の価格設定を調べてみてください。最も割安な卸売価格(1か月あたり200万分以上の音声録音)でも、音声をテキストに変換するのにかかるコストは1分あたり0.3セントです。音声認識を1日最低3時間利用すると仮定すると、ユーザーはターゲット1人あたり年間約200ドルを負担しなければなりません。これは米国の広告会社にとっても、高額すぎるコストです。

音声アシスタントの場合

そうは言っても、音声コマンドを本来の目的として既に聞いているデバイスには、上記の理由は当てはまらないかもしれません。その最たるものとして、スマートスピーカーや、音声アシスタントが常設されたスマホが挙げられます。あまり目立たないデバイスとしては、音声コマンドに反応するスマートテレビなどもあります。

Amazonによりますと、Alexaは常にウェイクワード(音声アシスタントを起動させるための特定の言葉)を聞き取っているものの、それを聞いた時のみ音声データを記録してクラウドに送信し、ユーザーとの対話が終わるとすぐに処理を停止します。同社は、Alexaのデータが広告ターゲティングに使用されることを否定しておらず、第三者機関による調査でもそのことは確認されています。このような行為を違法と考えるユーザーもいますが、彼らがAmazonを相手に起こした訴訟は現在も係争中です。一方、米連邦通信委員会がAmazonに対して起こした別の訴訟では、罰金として3000万ドルの支払いが決定されました。電子商取引業界の最大手が支払いを命じられる結果となったのは、Alexaが収集した子どものデータを削除しておらず、このことが米国児童オンラインプライバシー保護法(COPPA)に直接違反したためです。また、同社が違法に収集したデータをビジネスのニーズ、特にアルゴリズムの訓練に使用することも禁止されています。

そして、音声アシスタントを提供する別の企業もユーザーとの対話データを収集しているということは、長い間公然の秘密でした。Appleの実情はこちらで、Googleの実情はこちらで参照できます。時々、生きた人間がこれらの録音を聴き、技術的な問題を解決したり、新しいアルゴリズムを訓練したりします。しかし、それらはターゲット広告に使用されているのでしょうか?GoogleやAmazonによるそのような行為を確認した研究もありますが、これは常時盗聴しているというよりは、音声検索や購入履歴を使用している場合が多いようです。Appleに関しては、どの調査でも広告とSiriの間に関連性は確認されませんでした。

スマートテレビの音声コマンドに特化した研究は見つかりませんでしたが、スマートテレビがユーザーの視聴に関する詳細な情報を収集することは以前から知られています。収集するデータには、外部からの動画データ(ブルーレイディスクプレイヤー、コンピューターなど)も含まれています。搭載されているアシスタントとの音声対話も、想像以上に広範囲で使用されている可能性は否定できません。

特殊なケース:スパイウェア

しかしながら、スパイ行為を目的とするスマホを介した盗聴は当然行われることがあります。ターゲティング広告を目的としたものではありません。このような監視行為は、多くの事例が確認されています。犯人は嫉妬深い配偶者であったり、ビジネス上の競争相手であったり、さらには諜報機関など実際の仕事で使用する組織であったりします。しかし、このような盗聴を行うためには、標的のスマホにマルウェアをインストールする必要があります。そして、脆弱性の「恩恵によって」、標的が何もしなくてもマルウェアがインストールされるという事態がよく発生します。スマホが感染すると、攻撃者の選択肢は事実上無限になります。当社は、このようなケースを詳しく説明したブログ記事を公開しています。ストーカーウェア、感染したメッセンジャーMOD、そしてもちろん、Appleのデバイス向けにこれまで開発されたトロイの木馬の中ではおそらく最も洗練されている「Triangulation」の発見に関する記事です。こういった脅威に遭遇した場合、注意するだけでは十分ではありません。スマホの安全を守るための対策を、標的とされる領域に応じて講じる必要があります。そのためには、信頼性が高い保護ソリューションをインストールする必要があります。

盗聴から身を守る方法

  • スマホとタブレットで、マイクを必要としないすべてのアプリのマイクの使用許可を無効にします。最新バージョンのモバイルOSでは、権限とプライバシーの管理を設定するセクションと同じ場所で、どのアプリがいつ、スマホのマイク(およびその他のセンサー)を使用したかを確認できます。リストの中に、不審なアプリや予期しないアプリがあるかどうかを確認してください。
  • パソコンにインストールされているどのアプリがマイクにアクセスできるかを管理しましょう。WindowsとmacOSの最新バージョンの権限設定は、スマホの場合とほとんど同じです。また、パソコンに信頼性の高い保護機能をインストールし、マルウェアによるスパイ行為を防止しましょう。
  • 音声アシスタントをオフにすることを検討しましょう。常に傍受されているわけではないにしても、他人に聞かれたくないような会話の断片が録音されてしまう可能性があります。友人、家族、同僚の声がグローバル企業のサーバーに保存されてしまうことが心配な場合は、代わりにキーボード、マウス、タッチスクリーンを使用するようにしましょう。
  • テレビの音声コントロールをオフにしましょう。コンパクトなワイヤレスキーボードをスマートテレビに接続すれば、名前入力が簡単になります。
  • スマートスピーカーに別れを告げましょう。レシピをチェックしたり野菜を切ったりしながらスピーカーから音楽を聴くのが好きな人にとっては、非常に便利なものです。しかし、盗聴が可能なデバイスの中で、常に本格的な盗聴が可能なのはスマートスピーカーだけです。したがって、常に盗聴されているという事実を受け入れて生活するか、野菜を刻む時だけ電源をオンにするか、いずれかを選ぶ必要があります。
]]>
full large medium thumbnail