【AdGuardニュース】Redditがフィッシング攻撃を受ける、米政府 vs Apple、AIがそっくりさん作成、AWSの偽広告
AdGuardニュースダイジェストです。今回の最新情報は以下の通りです。
アメリカ人たちは自分のデータに対するコントロールを取り戻したいと思っている、Redditがハッキングに遭う、研究者はAIがプライバシーの脅威であると証明する、AppleはApp Store制限を緩めるべきだと米国政府は勧告、Googleの検索広告を使って犯罪者はAmazonを狙う。
【調査】アメリカ人、自分のデータがサービスの“使用料”代わりとして収集されるのは嫌だと言う
アメリカ人の大多数は、マーケティング担当者らがユーザーについて知れることをコントロールしたいと思っているが、そんなコントロールはほぼできないと思っていて、自分の個人情報・データを保護するためにどのようなツールを使用できるのかほとんどわかっていない。
ペンシルバニア大学のアネンバーグ・コミュニケーションスクールによる最近の報告書によると、マーケティング担当者らによって収集される個人情報を確実に保護することが可能と考えるのは「甘い」、というのが80%のアメリカ人の意見です。
同時に、圧倒的多数のアメリカ人が、個人情報と引き換えに「無料サービス」や価値のあるものを受け取るという現状に満足していません。
88%は、企業が割引と引き換えに、本人の知らないところで自由に個人情報を収集できるようになることに反対している。
61%は、お店がサービス向上を口実に、ユーザーの詳細なプロフィールを作成することは正しいとは思わない。
そして68%は、店舗が店内WiFi経由で、そのWi-Fiに接続している客のオンライン行動をモニターするべきではないと考えています。
また、多くの回答者が、トラッキング(個人情報追跡)の仕組みについて明確に理解していないことも判明しました。
例えば、45%の回答者は、テレビ視聴履歴に基づいてユーザーのスマートフォンに広告を送信するよう、スマートテレビベンダーが広告主に手を貸すことが可能であると思っていません。
この調査結果は、アメリカ人が、自分のデータが本人の明確な許可なく収集されることをますます懸念している一方で、広告主の触手がどこまで届くのかについては困惑していることを示唆しています。
また、「無料サービス」を利用するために個人情報・データを共有しなければならないことを人々がもはや受け入れていないことも、この調査によって示唆されています。
AdGuardは以前から、一般的で誤った考えとは裏腹に、私たちユーザーの個人情報・データは価値がある、と主張してきました。
個人情報はデータ市場においてホットな商品であり、大手企業に莫大な利益をもたらしています。
そして、ユーザーが自分の個人情報に対する制御を取り戻すのは当然のことなのです。
Reddit、フィッシング攻撃でソースコードが盗まれる
5,000万人以上のユーザーを持つ人気フォーラムであるRedditが、フィッシング攻撃によってソースコードと内部資料を盗まれました。
この攻撃は2月5日に行われ、ハッカーはRedditの従業員を標的として、「もっともらしく聞こえるプロンプト」でRedditのイントラネット(Redditのプライベートネットワーク)の偽クローンに誘い込んだ。
RedditのCTOであるChristopher Sloweは、従業員の1人がこの策略に引っかかったことを明らかにした。
ハッカーは彼の認証情報を盗み、会社のコード、いくつかの内部資料、さらにいくつかの内部ダッシュボードとビジネスツールにアクセスすることができたのだ。
また、Slowe氏は、Redditの数百人の従業員と取引先の「連絡先の部分的情報」が流出したことを明らかにした。
一般ユーザーのパスワードとアカウントは、今のところ「安全」であるようだとRedditは断言しています。
それでもSlowe氏は、より優れたアカウント保護のために2要素認証を有効にし、数カ月ごとにパスワードを変更し、パスワード・マネージャーを使用するようユーザーに促した。
これらは確かに、誰もが守るべきデジタル衛生の基本的なルールである。
AdGuardからデジタルハイジーンの基本ルールをまとめておりますので、よかったらご覧ください。
この件について要約すると、また別の企業がハッキングされ、人間がシステムの最も弱いリンクであることが再び証明されたことは残念なことです。
このような事件を防ぐために私たちができることは、会社員・従業員の間でこの種の攻撃に対する意識を高め、潜在的な赤信号を認識できるようにし、サイバーセキュリティのルールについて教育することです。
AI画像生成ツールはAI学習に使われた画像を「再現」することができるが、ニュアンスがある
もちろん、今話題の「AI」とそのモデルに関連するニュースもあります。
Google、DeepMind、UC Berkeley、Princeton、ETH Zurichの研究者からなる雑多な研究者一団は、Stable DiffusionやGoogle ImogenなどのAI搭載画像対テキスト生成ツールが学習データから画像を記憶できることを発見している。
簡単に言えば、膨大な量の公開データで学習されたこのような大型AIモデルは、かつてかき集めたことのあるものとほぼ同じ画像を生成できるということです。
ソース:Extracting Training Data from Diffusion Models, Carlini et al.
これらのモデルのトレーニング教材として使用される画像に写っている人々は、自分の画像の使用を許可していないことを考えると、これは深刻なプライバシーリスクと言えます。
自分の画像(まあ、実質上自分のものではなく生成された画像だが、肉眼では同じに見えるもの)が、怪しげな商品の宣伝に使われていて、それに対してできることは何もなく、訴えることもできないと想像してみてください…。
上の画像はオリジナル、下の画像は生成されたイメージ
そこで、自分の画像がAIによって再現される確率は、現状ではかなり低いというニュアンスがあります。
Stable Diffusionデータセットに含まれる最も重複した画像35万枚をテストした研究者たちは、学習データと直接一致するのは94枚、ほぼ一致するのは109枚(0.03%)しか見つからなかったという。
Google Imogenの場合は2.3%とやや高い数字だった。
しかし、研究者のエリック・ウォレスは、この数字は小さく見えるかもしれないが、将来の(より大きな)拡散モデルは「もっと多くうを記憶する」ようになるため、より大きなプライバシーリスクをもたらすと指摘している。
AIによるプライバシーの脅威は現実的であり、私たちAdGuardもそれについて警告してきました。
今のところ、この脅威から身を守るためにできることは、自分の個人情報のオンライン共有を減らすこと以外にはほとんどないのです。
米国政府はAppleにアプリのサイドロードを許可するよう求めることでビッグテックに一撃
EUに続いて、米国政府もアプリストア市場におけるAppleとGoogleの支配を抑制する法案を可決するよう議員に要請した。
米国商務省電気通信情報局(NTIA)は、いわゆるゲートキーパー(=アプリストア運営側)が「アクセスに対する手数料から、あるアプリを他のアプリより優遇する機能制限まで、アプリ開発者に不必要な障壁とコストを生み出している」と主張する報告書を発表した。
GoogleとAppleはともに、アプリ内購入に対して最大30%の手数料をアプリ開発者に課し、アプリに審査プロセスを受けるよう求めている。
後者は「遅く、不透明」であると、NTIAは述べています。
また、GoogleとAppleが開発者やユーザに課す制限は、より良いセキュリティを提供することを目的としているという主張を、報告書は非難しています。
「アプリ内決済のような分野では、現在のシステムがAppleとGoogle以外の誰かにメリットがあるのかは不明である」とNTIAは述べています。
最終的に、「高騰」した価格、アプリの選択肢の欠如、イノベーションの欠如によって被害を受けるのは消費者であると、当局者は結論付けています。
NTIAは、ゲートキーパー(アプリストア運営側)に対して、ユーザーがアプリケーションをサイドロードしたり(現在iPhoneでは不可能)、別の支払い方法を利用できるようにすること義務付ける法律を制定するよう、米国議会に勧告しています。
そろそろEU以外の誰かが、アプリ・ストア市場におけるGoogleとAppleの覇権に挑戦してもいい頃です。
規制当局からの圧力は、すでにEUでAppleに自分の閉鎖的なエコシステムの開放を迫っているのだが、これが世界中で起こることを見たいですね。
サイバー犯罪者、“偽の”Google広告を利用してAmazon Web Servicesの認証情報を盗み出す
AdGuardもFBIも、以前から有名企業なりすましGoogle検索広告の危険性について警告しました。
そして残念ながら、Googleが悪質な広告を取り締まることを確約しているにもかかわらず、この脅威はなくなりつつありません。
今回、サイバー犯罪者は、100万人以上のアクティブユーザーを持つAmazonの子会社であるAmazon Web Servicesの顧客をターゲットにし、その多くは中小企業でした。
サイバーセキュリティ企業SentinelOneの調査によると、悪者らは、AWSのログインページに見せかけたフィッシングサイトを作り、Google検索でプラットフォームの正規広告のすぐ下に表示される広告を掲載した。
Google検索結果でのAWSなりすまし広告(ソース:SentinelOne)
「感染された」広告は、まずフィッシング・ドメインそのものに誘導したが、その後、攻撃者はそれを、正当なお菓子ブログのコピーであるプロキシに置き換えたのです。
ユーザーが広告をクリックした後、ページは偽のログインページにリダイレクトされる第2のドメインを読み込みました。
これは、おそらくGoogleの不正防止機構による検出を回避するために行われたものだと思われます。
さらにユーザーを混乱させるために、ユーザーが偽装されたフォームに認証情報を入力した後、正規のAWSログインページが表示されました。
研究者は、Googleの検索広告を利用したこのような攻撃は簡単に実行できるため、一般ユーザーだけでなく、ネットワークやクラウドの管理者にとっても「深刻な脅威」であると指摘しています。
私たちAdGuardも、この評価に全面的に賛成です。
偽検索広告の被害に遭わないための基本対策は、この種の悪質な広告について知って気をつけることと、AdGuardブラウザ拡張機能やAdGuardアプリのような広告ブロッカーを使用することです。
以下では、AdGuardにおける検索広告ブロック設定を確認する方法を表記しておきます。
AdGuardで検索広告ブロックを有効にする・有効であることを確認する方法【各プラットフォームでの手順】
※以下の状態が、検索結果で出る広告がブロックされる状態となります。
AdGuard for iOS
🛡アイコン (下方の左から2つ目) → 「Safariでブロック」 → 「フィルタ」 → 「その他」 → 「検索広告・自己宣伝のブロック解除フィルタ」をオフにする
AdGuard for Android
画面左上のメニュー(☰) → 「コンテンツブロック」 → 「フィルタ」 → 「その他」 → 「検索広告・自己宣伝のブロック解除フィルタ」をオフにする
AdGuard ブラウザ拡張機能
⚙ (画面右上) → 「一般」 → 「検索広告やサイトの自己宣伝をブロックする」をオンにする
AdGuard for Windows
メイン画面上の「設定」 → 「広告ブロッカー」 → 「検索広告やウェブサイトの自己宣伝をブロックしない」にチェックが入っていないことを確認する
AdGuard for Mac
⚙ (画面右上) → 「設定…」 → 「一般」 → 「検索広告やウェブサイトの自己宣伝をブロックしない」にチェックが入っていないことを確認する
AdGuard for Safari (Mac)
設定 → 一般設定 → 「有用な広告を表示する」をオフにする