米国不動産ファンドを共同運用している中山道子です。
今日は投資の話ではなく、しばらく前に、自分のデジタル環境を見直すきっかけになった出来事をご紹介します。
きっかけは「不審なログイン」だった
実は、ある時、定期購読しているウォール・ストリート・ジャーナル(以下WSJと略)のアカウント詳細を確認していたところ、見覚えのない端末がログインしていることに気づきました。IPアドレスの場所は私とはまったく関係のない、オレゴン州です。
ハッキングされ、購読にただ乗りされているのか?と冷や汗が出ました。
パスワードを変更し、全端末をログアウトさせましたが、すぐに、それらの端末が再度現れるのです。
AIエージェントに確認したところ、Amazon Web Services(以下、AWS と略)、つまり、WSJが、AWSのクラウドサービスを使ってコンテンツを配信しているらしいということがわかりました。
ご承知のように、聞いていないことも偉そうに畳み掛けてくるのがAIエージェントの微妙なところ。私は、machine-splaining と名付けていますが、これを糸口として、つい、会話を続けているうちに、最新ハッキング状態について、いろいろ教えてもらうに至りました。
この件に関して言えば、「聞いていないことも、教えようとしてくる AI のおせっかいのお陰で、期せずして、大いに意味のある情報を得るに至った」わけです。
ブラウザの拡張機能が「静かな時限爆弾」になっている
AIとの会話の中で特に印象に残ったのが、ブラウザ拡張機能を使った攻撃の話でした。
ダウンロード型の攻撃については、私も認識がありましたが、昨今の効果的なハッキングは、ダウンロード型ではないということなのです。
例えば、Google の Chrome は現在、世界のブラウザ市場の約7割を占めているそうですが、その Chrome でも、2024年から2025年にかけて大規模な拡張機能攻撃が相次いだとのこと。
「ShadyPanda」と名付けられた事例においては、攻撃グループは、「Clean Master」や「Speedtest Pro」など、長年にわたって正規ツールとして使われてきた人気拡張機能を複数運営していました。
これらの拡張機能は、Chrome ウエブストアでは、「Featured」や「Verified」のバッジも取得し、数百万件のインストール実績を持つに至っていました。ところが、2024年に、それらに一斉に悪意のあるアップデートが配信され、約430万人のユーザーがスパイウェアに感染したというのです。
詳細は、GIGAZINEサイトの該当記事「ステルス性の高いブラウザ拡張機能で430万人がマルウェアに感染、『ShadyPanda』による7年間の攻撃で影響を受けたChrome・Edge拡張機能リストはコレ」も参照。リンクは下からです。
https://gigazine.net/news/20251204-browser-extension-malware/
2024年12月には、サイバーセキュリティ会社 Cyberhaven の公式 Chrome 拡張機能そのものが攻撃者に乗っ取られ、ユーザーの認証情報が密かに抜き取られるという事態も起きたそうで、つまりは、セキュリティを守るはずのツールが、攻撃の入口になったわけです。
このタイプの攻撃はデバイスにファイルをダウンロードするのではなく、ブラウザ内で完結します。セッションデータや認証情報をブラウザ内から直接抜き取る仕組みのため、「パソコン本体をスキャンして何も出なかった」という結果は、安全の証明にはならないのです。
例えば、現在、Windows Defender は、ブラウザ拡張機能対策がありません。Malwarebytes 社の拡張機能は無料バージョンでも意味があるそうですが、それでも、万全ではないらしいのです。
更には、こうした拡張機能が問題になり、Chrome Web Store から削除されるに至っても、一度インストールされた自分の端末からは自動的削除とはなりません。自分で chrome://extensions をアドレスバーに入力し、手動で削除する必要があるわけですが、そもそも、どの拡張機能が、後日ブラック認定されたかなど、フォローする人は、サイバーセキュリティの専門家以外、いないのではないでしょうか。
こうなると、ブラウザには、そもそも、必要最低限の拡張機能しかインストールしない。また、いつのまにか、知らない拡張がインストールされているかを定期的に確認し直す、といった個別対策が必要になってきます。
二要素認証の盲点とは
二要素認証(2FA)設定していれば、ブラウザ上、万が一パスワードがハックされても、まあ、安心なのでは、と質問し、更に恐ろしいことを学びました。
セッションハイジャックという手法においては、2FA ログイン認証を突破する必要がないというのです。
これは、具体的にはどういうことかというと、一度セッションハイジャックされてしまうと、アカウントへの新規アクセス時に、2FA 設定にしていても、そのような2FA アクセスが不要になり、ハッカーは、2FAを経由せずに、該当アカウントにアクセスできてしまう、ということなんだそうです。
ハードウエア認証キーという選択肢
ひょんなことから、イレギュラーなサイバーセキュリティ対策集中講座を自主受講するに至った私。大企業勤務であれば、会社のIT対策の指示に受け身に従っていればいいのですが、私の場合は、大企業が裏についていないので、個人資産防衛のみならず、会社の経営についても、こうしたセキュリティ対策が必須となります。
過去には、サイバーセキュリティ対策の会社に連絡を取ったこともあるのですが、定評がありそうな会社では、小規模の企業経営のセキュリティ対策には取り合ってもらえず、事が事なだけに、UPWORKなどの個人の方に相談をするのも憚られたため、一人孤独に、3種のAIエージェントに交互に相談をしながら、ここ1年、「セキュリティ対策のアップデート」に努めてきました。
問題点を鳥瞰図的に掌握している専門家に最初から相談するのと異なり、ある意味では、効率が悪い点がありましたが、隙間時間を使い、ほぼ、無料でできた他、自分の知見や危機意識の向上にもつながりました。
2026年3月現在は、例えば、下のいくつかのセキュリティ対策を組み合わせています。この他にもありますが、ここでは書ききれません。。。
第一には、2FA アプリ。
これは、これまでは、普段持ち歩いているSIMカードが入っているメインの携帯で認証をしていましたが、現在は、SIMカードが入っていない第二携帯でのみ、利用しています。証券会社などは、決済時にSMSが送られてくる設定にできますが、それと同時に、ログイン時には、携帯番号を登録している携帯とはまったく別の端末でのみ、認証アプリを使うわけです。(→ SIMスワップ攻撃への対策)
第二に、2FA は、可能な限り、ハードウエア認証キーに切り替えてみています。多くの金融機関では、一般顧客用へのハードウエア認証キー対応はないのですが、Gmailなどは、ハードウエア認証キー対応になっています。(→セッションハイジャックとフィッシング攻撃への対策)
最後に、ブラウザを閉じるごとに、自動的に、すべてのアカウントからログアウトするブラウザ設定に切り替えました。実は、いろいろやっているうちに、Chrome は、利便性を優先するため、ここがどうしてもクリアできないことがわかりました。Google は便利すぎて、エコシステム全体が、Google で構成できてしまうのですが、そのかわり、電子メールをハックされてしまうと、なし崩しに、ありとあらゆる情報がダダ漏れとなってしまうのです。そのため、現在、パソコン上、Chrome を使用するのをはやめました。(→セッションハイジャック攻撃への対策)
最後に
報道によると、2024年、カリフォルニア州在住のジェフ・ドロブマン氏は、Bank of America の口座から2万1,000ドル(約300万円)を一瞬で引き出されました。犯人はSIMスワップ攻撃と呼ばれる手口で、彼の携帯キャリアを騙し、電話番号を別のSIMカードに移管。SMS認証コードが犯人の携帯に届くよう細工した上で、2段階認証を突破し、即座に送金手配をしてしまったそうです。
NBCロサンゼルス社の報道サイト該当URLをご紹介します。
記事名は、Man lost $21,000 in SIM swap scam. Here’s how to protect yourself です。
https://www.nbclosangeles.com/investigations/phone-sim-swapping-scam/3388687/
こうした口座乗っ取り被害は、米国在住者であっても保険の対象となりにくいのが現状です。
法人向けのサイバー保険市場は急成長しているそうですが、2026年現在個人の金融口座への不正アクセスによる損失をカバーする商品は、まだ主流ではないようです。
日本など海外から米国の金融口座や証券口座を保有している場合、あるいは、香港やシンガポールの口座を保有しているケースなど、国際的な取引に至っては、一般化している反面、カバーする保険商品は今後も、発売すらされないかもしれません。
私は、今のところ、大きな被害に遭う前に、3つの AI エージェントとの会話を繰り返すことで、サイバーセキュリティ対策を取っているIT会社への業務委託せずして、セキュリティ対策をアップグレードすることができました。
現在も、習慣として、気になることは、複数のAIエージェントに相談をして設定を確認する地道な作業が日常化しています。
当面の生産性にはまったく寄与せず、むしろ、日々のログインや作業に関しては、余計な手間がかかるばかりの状況ですが、自分の個人資産情報のみならず、大切な顧客情報も多数お預かりしているので、今後も、AIエージェントのチュートリアルを自主的に受ける形で、常時、サイバーセキュリティ対策のアップデートを続けていきたいと思っています。
会社では、こうしたセキュリティ対策はちゃんとしているよ、という方でも、個人資産等の口座のセキュリティ対策、ぜひ、AI なりを手がかりに、定期的に見直されることをお勧めさせてください。個人的な感想では、AI エージェントを利用する場合は、見当違いなこともままあるので、複数のサービスを使って確認したりといった試行錯誤をしてみる必要があります。
私も、皆さんも、下に掲載したようなハック事件において、期せずして、情報漏洩の被害者となっている可能性が高い前提で行動していくしかないのだと思います。
- Yahoo(2013〜2014年、発覚は2016年):30億アカウント分のデータが流出。史上最大規模のハッキングとして記録されており、発覚まで2年以上かかった
- LinkedIn(2021年):約7億人分のユーザーデータがオンライン上に流出。
- Dropbox(2024年4月):電子署名サービス「Dropbox Sign」がハッキングされ、メールアドレス、電話番号、認証トークン、APIキーなどが流出。利用者全員が対象
- AT&T(2024年):約7,300万人分の顧客データが流出。暗証番号などの情報も含まれていた
- Google(2025年8月):Salesforceのデータベース経由でShinyHuntersというハッカー集団に侵入され、Gmailユーザー約25億人分のビジネス関連データが流出。Googleは自社サービスの認証情報は盗まれていないとしたが、フィッシング攻撃のリスクが大幅に高まったとして警告を発した