行動科学の視点から見るセキュリティ対策
前回のブログでは、テクノロジー重視と人重視のセキュリティという二極化について取り上げました。
前回のブログでは、テクノロジー重視と人重視のセキュリティという二極化について取り上げました。
サイバーセキュリティの業界は長年、2つに分かれて、それぞれが独自の主張をしてきました。まずは「技術派」です。侵入が難しいシステムを作り、AI搭載の次世代ファイアウォールがあればすべて解決できると主張します。
BleepingComputerは、攻撃者がiCloudカレンダーの招待機能を悪用し、PayPalの通知を装ったフィッシングメッセージを送信していると報じています。この攻撃の特徴は、Appleのインフラから配信されるため、セキュリティフィルタを回避しやすい点です。
Hackreadによると、攻撃者がGoogleのAppSheetプラットフォームを悪用して、フィッシングメールを送信しています。
USIAのCommercial Property & Casualty担当パートナー兼副社長、Matt Weidman氏によると、AIを使ったフィッシング攻撃は、組織にとって拡大する重大な脅威です。
.jpg?length=260&name=Evangelists-Martin%20Kraemer%20(1).jpg)
「やられたよ。みなさん、すみません。とても恥ずかしいです。」これはオープンソース開発者のqixが、ソーシャルエンジニアリングによりGitHubアカウントの認証情報を奪われた際に、世界に向けて発した開示・通知のメッセージです。
Netskopeのレポートによると、シャドーAIの利用は増加しており、多くの組織のセキュリティリスクが増加していることが判明しました。
私はセキュリティ意識向上トレーニングの普及のためには社内にセキュリティの「チャンピオン制度」を設けることを勧めています。チャンピオン制度とは、社内の同僚が「セキュリティの伝道役」として自発的に立ち、フィッシングやソーシャルエンジニアリングなどのリスクを自分ごととして伝え、望ましい行動を実演し、現場の声を集めて還流させる取り組みです。動画やクイズ、ポリシーを補完する有効な手段です。
FBIとAmerican Bankers Association(米国銀行協会、ABA)は、AIで生成されたディープフェイク詐欺の脅威が拡大しているとして、共同で注意喚起文を公表しました。
ANYRUNのリサーチャーによると、攻撃者は「Salty 2FA」と呼ばれる新たなフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを使用し、北米および欧州の幅広い業界を標的にしています。