SNSは多くの脅威アクターに悪用されてきています。
SNSを使って被害者となる予定の人にアクセスし、あの手この手で襲い掛かります。
脅威アクターに悪用されるケースの多いSNSの一つにLinkedInがあります。
採用情報を餌に被害者を拡大させていたなんていう話もありました。
被害者とのやり取りを開始すると、マルウェアの配布、サイバースパイ活動の実行、資格情報の盗用、金融詐欺の実行などの行為に及ぶことになります。
こういった状況において、LinkedInが安全性を高めることのできる新しい3つの機能をリリースしました。
- “About this profile”機能の導入
「このアカウントについて」です。
LinkedInの正規の登録者はこのセクションで自分のアカウントの正当性を見せることができます。
登録者がいつプロフィールを作成したか、登録者が自分の電話番号の認証を完了したかどうか、仕事用のメールでの認証が完了しているかなどの情報をユーザーに提供します。
もし登録者がなりすましで企業の担当者を装おうとする場合、LinkedInでの詐欺行為の前段階としてなりすます方の担当者のメールも自由にできるように準備する必要がありそうです。
これは非常に大きな手間となるように思われます。 - AIによるAI生成プロフィール写真の判定
実在する正規の担当者は自分の写真を登録するケースが通常でしょう。
しかし脅威アクターがなりすましで担当者となろうという場合に自分の実際の写真を登録するでしょうか。
選択される方法の一つにAIで写真を生成してそれを自分の写真として登録するというものがあります。
このLinkedInの新しい機能は、登録されたプロフィール写真がAIで生成されたものであるかどうかを判定します。 - 不審なメッセージの阻止
LinkedInの機能の中にチャット機能があります。
SNSですからいろいろな人と繋がろうということでこういった機能が搭載されています。
登録者は訪問者とLinkedInのチャット機能の中で会話することができます。
普通はこのチャット機能でやり取りができれば文句はないでしょう。
しかし脅威アクターが登録者になりすます場合、そのプラットフォームの外側に誘い出そうとする場合があります。
言い方としてはこうです。「より安全なプラットフォームでコミュニケーションを取りましょう。」
そして提案される別のツールを被害者は手元の環境にインストールすることになったりします。
その別のツールはなんらかのインスタントメッセンジャーのクローンになっていてスパイウェア機能が混ぜ込んであったりします。
LinkedInの新しい機能はこういったプラットフォームの外側に誘い出そうとしたときに警告します。
これらの機能は偽アカウントの検出と削除のためのものであると目的を明らかにしてリリースされています。
これがあれば大丈夫というほどの効果が期待できるかどうかはまだわかりません。
しかしこの新しい機能のリリースによってLinkedInは脅威アクターにとって選択しにくい選択肢となってきているように思われます。
参考記事(外部リンク):New LinkedIn profile features help verify identity, detect
and remove fake accounts, boost authenticity
blog.linkedin.com/2022/october/25/new-linkedin-profile-features-help-verify-identity–detect-and-r
| この記事をシェア |
|
|---|
