Over 10m Conversations Exposed in AI Call Center Hack
2024/10/10 InfoSecurity — 大規模なデータ侵害により、中東の AI 搭載コールセンター・プラットフォームから 、1,000 万件を超える会話が漏洩した。サイバー・セキュリティ企業 Resecurity によると、この侵害はプラットフォームの管理ダッシュボードへの不正アクセスに関係しているという。その結果として、消費者/オペレーター/AI エージェント間の、1,020 万件を超えるインタラクションが、攻撃者のより不正に収集されたという。Resecurity は、盗まれたデータが悪用されると、高度な詐欺/フィッシング・スキームなどに加えて、AI を介した悪意のアクティビティにいたる可能性があると警告している。
今回の攻撃対象となった無名の AI コールセンター・プラットフォームは、フィンテックや e コマースなどの業界で広く使用され、膨大な量の顧客とのインタラクションを処理しているという。数多くの組織が、効率性の向上と応答の自動化のために、このようなプラットフォームを利用するという現状がある。
しかし、この侵害により、特に National ID Documents などの個人識別情報 (PII) の漏洩といった、深刻なリスクが判明している。Resecurity の調査では、このデータを悪用する攻撃者が、正当な顧客サービス・エクスチェンジを装うことで、不正行為を組織化する可能性があると示唆される。
侵害に関連する主なリスクは、以下のとおりである:
- データ流出:攻撃者は PII をマイニングして、フィッシングやソーシャル・エンジニアリングのスキームで悪用する可能性を得ている。
- 信頼の悪用:悪意の人物が会話を乗っ取り、支払いの詳細などの機密データを開示するよう、被害者に対して働きかける可能性がある。
- セッション・ハイジャック:人間のオペレーターとユーザーの間で交わされる、AI 支援通信を傍受する攻撃者が、さらなる侵害を引き起こす可能性が生じる。
この侵害は、顧客サービスの向上のために各業界で利用が高まる、AI 搭載プラットフォームに存在する脆弱性の危険性を強調している。これらのシステムは、パーソナライズされた効率的なコミュニケーションを提供するが、いったん侵害されるとデータ・プライバシーに大きな脅威をもたらす。
Resecurity は、影響を受けた当事者と法執行機関に警告した後に、侵害は軽減されたと述べている。その一方で、このインシデントが浮き彫りにするのは、サードパーティの AI システムのセキュリティと、機密性の高い顧客データの取り扱いにおける、それぞれの役割に関する広範な懸念である。
Resecurity は、「会話型 AI プラットフォームは、大手企業や政府機関にとって、現代の IT サプライ・チェーンの重要な要素になっている。AI を保護するには、SaaS に関連する従来のサイバー・セキュリティ対策と、AI の特性に合わせて特化/カスタマイズされた対策との、バランスを取る必要がある」と締め括っている。
つい先ほど、「OpenAI を悪用するサイバー犯罪と偽情報拡散:20件以上の悪意のキャンペーンを阻止」という記事をポストしたところですが、とてもリアリティのある、Resecurity のレポートが提供され、現実を突きつけられた感じがします。AI の普及による攻撃面積の拡大から、一挙に個人情報の窃取に到達したサプライチェーン攻撃だと、認識すべきなのでしょう。よろしければ、カテゴリ AI/ML も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.