ニュース

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

IT House は 8 月 11 日、Futurism によると、Windows システムに組み込まれた Microsoft の Copilot AI が簡単に操作されて企業の機密データが漏洩し、強力なフィッシング攻撃ツールにさえ変わる可能性があることをセキュリティ研究者らが最近明らかにしたと報じました。

IT Houseは、セキュリティ企業Zenityの共同創設者兼最高技術責任者（CTO）のMichael Bargury氏がラスベガスで開催されたBlack Hatセキュリティカンファレンスでこの驚くべき発見を明らかにしたことを指摘し、「これを使ってあなたのすべての連絡先情報を入手でき、あなたに何百もの電子メールを送信できる」と語った。従来のハッカーは何日もかけてフィッシングメールを注意深く作成する必要があるが、Copilotを使えば数分で大量の欺瞞メールを生成できると同氏は指摘した。

研究者らは、攻撃者が企業アカウントを取得せずにCopilotをだまして銀行振込の受取人情報を変更できることを実証し、攻撃対象の従業員は攻撃を実行するためにその電子メールを開く必要さえないことを実証した。

別のデモンストレーション ビデオでは、ハッカーが従業員アカウントにアクセスした後、Copilot を使用して大混乱を引き起こす方法を明らかにしています。。 Bargury は、簡単な質問をすることで機密データを入手することができ、それを使用して従業員になりすましてフィッシング攻撃を開始することができました。 Bargury はまず同僚のジェーンの電子メール アドレスを取得し、ジェーンとの最新の会話の内容を学習し、Copilot に会話内のカーボン コピー担当者の電子メール アドレスを漏らすように誘導します。次に、攻撃された従業員のスタイルでジェーンへの電子メールを作成し、両者間の最新の電子メールの正確な件名を抽出するようにコパイロットに指示しました。わずか数分で、彼はネットワーク上のあらゆるユーザーに悪意のある添付ファイルを送信できる信頼性の高いフィッシングメールを作成しました。これはすべて Copilot の積極的な協力のおかげです。

Microsoft Copilot AI、特に Copilot Studio を使用すると、企業は特定のニーズに合わせてチャットボットをカスタマイズできます。ただし、これは AI が企業データにアクセスする必要があり、セキュリティ リスクが高まることも意味します。多くのチャットボットはデフォルトでオンラインで検索できるため、ハッカーの標的になります。

攻撃者は、間接ヒント挿入を通じて Copilot の保護手段をバイパスすることもできます。簡単に言えば、プロンプトを含む Web サイトにチャットボットを訪問させるなど、外部ソースからの悪意のあるデータを使用して、禁止されたアクションを実行させることができます。 「ここには根本的な問題があります」と Bargury 氏は強調します。「AI にデータへのアクセスを許可すると、そのデータは即座に注入される攻撃対象領域になります。ボットが有用であれば、ある時点で脆弱になりますが、脆弱でない場合は脆弱です。使い物にならない。"