今週も脅威情報ニュースレターをお届けします。
先週は夏休みをいただきましたが、またセキュリティの仕事に戻ってきました。
ディープフェイク動画を私が初めて目にしたのは、ジョーダン・ピール氏が制作したこの動画が BuzzFeed News で公開されたときでした。バラク・オバマ前大統領が適切とは言えない言葉を使って語っているように見えます。それ以来、ディープフェイク動画の危険性を指摘する報道が盛んに行われてきました。ディープフェイクポルノ動画を制作する人まで現れており、さまざまな点で大きな問題を生み出しています。
そして今、新たな問題になりつつあるのがディープフェイク音声です。個人的には、こちらのほうが恐ろしい問題のように思えます。少なくともディープフェイク動画については、インターネットでそれなりの時間を過ごした人であれば、(今のところは)かなり簡単に偽物を見分けることができます。ソーシャルメディア企業もこの種のコンテンツに対するフラグ付けシステムを向上させていま。
しかし、フェイク AI 音声では視覚的な手がかりは利用できません。この技術は、機械学習と対象の人物の音声アーカイブを利用しており、偽物と気付くのが難しいレベルにすでに達しています。
最近公開された映画『トップガン マーヴェリック』では、AI 音声企業が参加して俳優のヴァル・キルマー氏の声を再現しています。キルマー氏は喉頭癌を患って以前のような声が出なくなっており、電気式人工喉頭を使用して日常生活を送っています。私はまだこの映画を見ていませんが、普通の映画ファンはこうした裏舞台に気付かないのではないかと思います。
Disney+ では『オビ=ワン・ケノービ』を見ましたが、このドラマでもあるキャラクターの会話を支援するために AI 音声クローン技術が利用されているそうです(そのキャラクター名はまだ公表されていませんが、ダース・ベイダー/アナキン・スカイウォーカーではないでしょうか。ヘイデン・クリステンセンがベイダーのような声を出せるとは思えません)。
そして、この技術の最も恐ろしい応用例が Amazon 社から発表されました。同社は、音声アシスタントのアレクサが亡くなった祖母の声で少年に本を読み上げられるようにする機能を開発中だと言うのです。これはちょっとやり過ぎでしょう。私も亡くなった祖父母がとても恋しいですし、また電話で話せるなら何だってするでしょう。だからといって、ロボットでその声を再現して寂しさを紛らわせたいとは思いません。ディープフェイク音声はあとどれくらいで実用化されるのでしょうか?誰かが私の声を真似して、危険な状態に陥ったとか、どうしてもお金が必要になったとか言ったら、祖母は簡単に信じてしまったと思います。詐欺師が憧れのジョージ・クルーニーの声で電話をかけてきて、500 ドルの Amazon ギフト券を送ってくれたらデートしてもいいですよと言ってくる日も遠くないかもしれません。
AI 技術の進歩には驚かされます。ダース・ベイダーにダース・ベイダーらしい話し方をさせたからといって怒ったり問題視したりするわけではありませんが、テクノロジー企業は自制が効きませんので、この手法が手に負えなくなってサイバー攻撃者の手に渡るのも時間の問題です。
重要な情報
ランサムウェア攻撃者はダークウェブで活動することを好みます。正体を隠して検出を避けることができるからです。盗み出したログイン情報を売買したり、戦術を共有したり、標的のデータを漏洩させたりするのに都合が良いのです。最近、Talos の研究者は、ランサムウェア攻撃者の戦術や正体を突き止めることができるいくつかの手法を発見しました。それらの手法で身元を割り出したところ、比較的新しい DarkAngels など、いくつかのグループの攻撃やマルウェアについて多くの情報が得られました。
注意すべき理由
この手法を利用することで、ランサムウェア攻撃者の活動について多くの情報が得られました。オンラインで正体を隠すため、また Web サーバーのインフラをホストしている場所を突き止められないように、ランサムウェア攻撃者は数々の予防措置を講じています。また、ほとんどのランサムウェア攻撃者は居住国以外(スウェーデン、ドイツ、シンガポールなど)のホスティングプロバイダーを使用して、ランサムウェア攻撃用サイトをホストします。これらはランサムウェアとの戦いに役立つ貴重な情報となっています。
必要な対策
いくつかの手法について最近の記事で解説しています。セキュリティ研究者の皆様のお役に立てれば幸いです。Talos では、セキュリティコミュニティにできるだけ多くの情報を提供して、皆様と協力しながらランサムウェアや攻撃者とのグローバルな戦いを進めていきたいと考えています。
その他の注目情報
米国で、国家が守ってきた中絶の権利を最高裁判所が最近の判決で覆しました。その影響は広範囲に及んでおり、テクノロジー業界にも波及しています。主要なソーシャルメディア企業は、中絶が違法である州で中絶を受けた可能性がある女性に対する政府の調査に協力するために個人情報を提供するかどうかの判断を迫られています。また、生理追跡アプリに懐疑的な女性も多くなっています。そうしたアプリの中には、ユーザーデータを法執行機関と共有することをプライバシーポリシーに明記しているアプリもあります。中絶政策が州ごとに異なってくれば、問題は解きがたいほど複雑になってしまうでしょう(情報源:Yahoo! News、Axios、Vice Motherboard)。
新しいモバイルスパイウェアがヨーロッパとアジアの Android ユーザーと iOS ユーザーを標的にしています。最近発見された Hermit というスパイウェアは、イタリアの RCS Labs 社が開発したもので、データを窃取し、通話を録音し、通話を発信する機能を備えています。ユーザーにダウンロードさせるために、このスパイウェアは正規のアプリを装っていますが、研究者によると Google や Apple 社のアプリストアには表示されません。スパイウェアと言えば NSO Group が開発して猛威を振るっている Pegasus ツールがあります。Hermit が発見されたということは、攻撃者も政府も依然としてスパイウェアを使用しているのでしょう。スパイウェアが厳密には違法でない国も多く、政府機関や国家の支援を受けたグループが著名な活動家、政治家、ジャーナリストなどの脆弱なユーザーを標的にしてよく使用しています(情報源:Wired、ThreatPost)。
マルチステージのリモートアクセス型トロイの木馬がいくつかのスモールオフィス/ホームオフィスルータを攻撃しています。新たに ZuoRAT と命名されたこのトロイの木馬は、2020 年に登場した可能性があります。シスコ、Netgear 社、Asus 社、DrayTek 社の一部のルータで発見された既知の脆弱性をエクスプロイトして、ネットワーク上の他のデバイスに感染し、DNS および HTTP ハイジャックを通じて別のマルウェアをダウンロードします。セキュリティ研究者によると、これまでに少なくとも 80 件の被害が確認されています(情報源:Dark Reading、Ars Technica)。
Talos が発信している情報
Talos が参加予定のイベント
A New HOPE(2022 年 7 月 22 日~ 24 日)
ニューヨーク市
BlackHat U.S. (2022 年 8 月 6 日~ 11 日)
ネバダ州ラスベガス
DEF CON U.S. (2022 年 8 月 11 日~ 14 日)
ネバダ州ラスベガス
Talos のテレメトリで先週最も多く確認されたマルウェアファイル
SHA 256:e4973db44081591e9bff5117946defbef6041397e56164f485cf8ec57b1d8934
MD5: 93fefc3e88ffb78abb36365fa5cf857c
一般的なファイル名:Wextract
偽装名:Internet Explorer
検出名:PUA.Win.Trojan.Generic::85.lp.ret.sbx.tg
SHA 256:e12b6641d7e7e4da97a0ff8e1a0d4840c882569d47b8fab8fb187ac2b475636c
MD5:a087b2e6ec57b08c0d0750c60f96a74c
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Tool.Kmsauto::1201
SHA 256:c67b03c0a91eaefffd2f2c79b5c26a2648b8d3c19a22cadf35453455ff08ead0
MD5: 8c69830a50fb85d8a794fa46643493b2
一般的なファイル名:AAct.exe
偽装名:なし
検出名:PUA.Win.Dropper.Generic::1201
SHA 256:8664e2f59077c58ac12e747da09d2810fd5ca611f56c0c900578bf750cab56b7
MD5:0e4c49327e3be816022a233f844a5731
一般的なファイル名:aact.exe
偽装名:AAct x86
検出名:PUA.Win.Tool.Kmsauto::in03.talos
SHA 256:125e12c8045689bb2a5dcad6fa2644847156dec8b533ee8a3653b432f8fd5645
MD5:2c8ea737a232fd03ab80db672d50a17a
一般的なファイル名:LwssPlayer.scr
偽装名:梦想之巅幻灯播放器
検出名:Auto.125E12.241442.in02
本稿は 2022 年 06 月 30 日に Talos Group のブログに投稿された「Threat Source newsletter (June 30, 2022) — AI voice cloning is somehow more scary than deepfake videos」の抄訳です。