【投稿者コメント】

【キーワード】

[第2認証はPINや]､[パスキーを使え]､[iOSは常に最新に]

【件名】

｢iPhoneユーザは注意を／顔画像を盗み銀行口座を標的にするマルウェアが流行中／対策は､①アプリのインストールはApple Storeに限定､②偽メールや偽装メッセージングを､即､削除､③常に､iOSを最新版に更新､④第2認証として､｢PIN認証｣や｢パスキー｣の使用を／｢生成系アプリ｣を禁止せよ／生成物への､削除不可能な｢電子透かし｣付与を義務付けよ｣

【投稿本文】

　以下は､『｢生成系AI＝ChatGPT｣を悪用した､iPhoneユーザを標的にした､｢顔画像を盗み銀行口座を標的にするマルウェア｣が流行中！』と云う､恐ろしげな警告的報告だ！

　ついに､｢生成系AI＝ChatGPT｣を悪用したIT犯罪が､かつて､"都市伝説の安全神話"のiPhoneまでにも及んで来たと云う事だ！

　この｢生成系AI｣を悪用したIT犯罪の手口は､次の通りだ｡

①人気のメッセージングアプリを利用して､｢偽のアプリ＝MDMプロファイル等｣をダウンロードさせたり､ウェブページへのリンクのクリックを促すなどのソーシャルエンジニアリングの手法でマルウェアに感染させて､端末を乗っ取る

②危険なトロイの木馬が､iPhoneから顔認識データを盗み出す

③盗んだ顔のキャプチャー画像を､｢生成系AI｣ツールに送り込んで､ディープフェイク＝偽の顔認証用データを作成する

③iPhoneへのSMSメッセージを傍受して､ワンタイムパスコードを窃盗する

④盗んだ｢顔認証用データ｣と｢ワンタイムパスコード｣を悪用して､iPhoneユーザ被害者の銀行口座に不正アクセスして､口座預金を窃盗する

⑤この攻撃は主にアジアに焦点を当てているが､今後はその他の地域にも拡大すると考えられている

⑥当初の､Androidを標的にしたこの攻撃では､より危険でより多くのユーザデータを窃盗した

　犯行手口から視た防御方法は､以下の通りだ｡

①アプリのインストールは､Apple Store以外からは行わず､メールやメッセージングアプリに記載されたURL等のリンクや添付ファイルをクリックしたインストールは厳禁とする

②偽メールや偽装メッセージングは､即､削除する

③常に､iOSを最新版に更新する

④オンライン･バンキングの第2認証として､｢顔認証用データ｣や｢ワンタイムパスコード｣を使用せずに､端末固有情報の｢PIN認証｣や｢セキュリティキー｣､及び､｢パスキー｣(*-1)を使用する

◇【根本的な対処に向けて】

　そもそも､簡単にコピー出来る顔写真を認証用の固有情報と呼べるのか､はなはだ､疑わしいから､iPhone起動時の認証は､顔認証は受け付けずに､パスコードのキーインが必要になる｡要するに､最近のiPhoneの顔認証は､端末ロックの解除ぐらいにしか使えない！
　要するに､容易に偽装出来る顔写真は､固有の生体情報ではない！

　そもそも､この様な深刻な被害をもたらすIT犯罪を助長しているのは､くだんの､糞アプリの｢生成系アプリ｣＝｢ChatGPT｣だ！

　｢生成系｣と云う名称の通り､｢本物のコンテンツ＝画像､動画､音楽､文章､Webコンテンツ等｣をコピー･偽造する為の物だから､大半の用途は､夏休みの宿題に追われた小学生や､レポート提出に追われた学生や､締切に追われた文芸作家･音学家･画家･編集者や､論文投稿に追われた研究者どころか､パスワード等の認証データの偽装･窃盗に追われたIT犯罪者どもであり､それらは､詐欺犯罪と著作権侵害の用途でしかないから､｢生成系アプリ｣＝｢ChatGPT｣は､法規制で禁止とすべきだ！

　このまま､｢生成系アプリ｣＝｢ChatGPT｣を放置し続ければ､IT犯罪が深刻化･跋扈･拡大して､ITコンテンツは正規の､本物のコンテンツが､偽装･成りすましコンテンツに駆逐されてしまう！

　即刻､法規制で禁止に出来なければ､即､｢生成系アプリ｣＝｢ChatGPT｣の生成物へ､削除不可能な､｢電子透かし｣(文字列､音声等)付与を義務付けるべきだ！

(*-1)｢パスキー｣とは？
https://support.google.com/accounts/answer/13548313?hl=ja
｢パスワードの代わりにパスキーでログインする｣
　パスキーは、パスワードに代わる簡単かつ安全なログイン手段です。指紋認証、顔認証、またはデバイスの画面ロック（PIN など）を使用して Google アカウントにログインできます。

　パスキーは、フィッシングなどの脅威からアカウントを保護する非常に強力な手段です。パスキーを作成しておくと、パスキーを使用して Google アカウントや一部のサードパーティ製アプリやサービスに簡単にログインできます。また、機密情報の変更を行う際に本人確認を行うこともできます。

重要:

アカウントで 2 段階認証プロセスが有効になっている場合や、高度な保護機能プログラムに登録している場合は、パスキーを使用すると 2 つ目の手順が省略されます。これは、パスキーによってデバイスの所有者であることが確認されるためです。
指紋認証や顔認証に使用される生体認証データはデバイスに保存されており、Google と共有されることはありません。

 

【以下転載】

https://forbesjapan.com/articles/detail/69192
｢iPhoneユーザー注意、顔画像を盗み銀行口座を標的にするマルウェア流行中｣
　　　　　　ForbesJapan.com　Zak Doffman | Contributor　訳：上田裕資　2024.02.17

 

添付図１_Shutterstock.com

 

　サイバーセキュリティ企業Group-IB( https://www.group-ib.com/blog/goldfactory-ios-trojan/ )は2月15日、危険なトロイの木馬がiPhoneから顔認識データを盗み出し、ユーザーの銀行口座を標的にしているとアップルユーザーに警告した。

　このマルウェアは、Face IDのデータを侵害するものではなく、iPhoneは完全に守られたたままだ。その代わりに顔のキャプチャー画像を盗んで人工知能（AI）が主導するツールに送り込み、ディープフェイクを作成するという。これにより、犯罪者は傍受したSMSメッセージと組み合わせて、被害者の銀行口座に不正アクセスすることが可能になる。

　Group-IBは、この攻撃が現状では主にアジア太平洋地域に集中していると述べている。ハッカーたちは、マルウェアの配布に当初は、iOSの開発者がベータ版ソフトの配布に使用するアップルのTestFlightを利用していたが、このツールが利用できなくなった結果、ユーザーを騙して端末にMDMプロファイルをインストールさせ、端末を乗っ取るようになったという。

　犯罪者がディープフェイクをSMSのワンタイムパスコードと組み合わせることで、オンライバンキングのセキュリティは簡単に突破できる。このマルウェアは、顔データとSMSの両方を標的とすることで、ワンストップでこれを実現する。

　Group-IBによるとこのマルウェアは、人気のメッセージングアプリを利用して、偽のアプリをダウンロードさせたり、ウェブページへのクリックを促すなどのソーシャルエンジニアリングの手法で広まっているという。

　これまでのところ、この攻撃は主にアジアに焦点を当てているが、今後はその他の地域にも拡大すると考えられている。以前にAndroidで発見された同様の攻撃は、より危険でより多くのユーザーデータを取得するものだった。

　ディープフェイクを用いたハッキングは、ますます憂慮すべきものになりつつある。2024年のサイバーセキュリティの脅威は、急速にAIを中心にしたものになりつつある。

(forbes.com 原文)
　https://www.forbes.com/sites/zakdoffman/2024/02/15/apple-iphone-15-iphone-16-upgrade-warning-faceid-ios-17-and-ios-18/
　編集＝上田裕資