より具体的なサービス提供に関するための調査
・パスクラッキング班
学生が日常的に使用するLINEを題材に、パスワードや二要素認証の重要性を伝える。アカウント乗っ取りの実例を紹介し、自分のパスワードや設定を振り返ってもらう。次に、よくある危険なパスワードを紹介し、実際に入力されたパスワードが何秒で破られるかを体験できるデモを実施。Googleの二段階認証の確認も行い、アカウント保護の意識向上を図る。
・画像班
画像の特定には、Google LensやTineyeなどの逆画像検索ツールが有効であり、類似画像や関連情報を特定できる。さらに、ChatGPTやGeminiに画像をアップロードすることで、背景から場所やイベントの特定が可能となる。特にChatGPTはGeminiよりも精度が高いと感じられた。一方で、Google Lensは候補が多く、人の手による追加調査が必要となる場合がある。また、SNSではExif情報(位置・デバイス情報など)が自動で削除されることが多いが、情報が残っていれば特定につながる危険性がある。AIツールを悪用すれば、SNSのプロフィール画像を加工・再利用してなりすましも可能であり、これらのリスクを実演を通じて伝えることで、危機感を持ってもらうことが重要である。
・AI×偽サイト
2021年10月、GoogleのThreat Analysis Groupは、ロシア政府支援のハッカー集団APT28(Fancy Bear)による約14,000人を標的とした大規模なフィッシング攻撃を報告した。
現在では、正規サイトに酷似した偽のログインページに誘導する「リアルタイムフィッシング」や、携帯番号を悪用してアカウントに侵入する「SIMスワップ詐欺」など、二要素認証を突破する巧妙な手口が存在する。
特にネットバンキングでは、偽サイトのURLをSMSで送りつけ、ログイン情報や2FAコードを盗み取る事例が報告されており、2FAを導入していても被害が発生している。