「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実：生成AIで変わる攻撃と対策【前編】

人工知能（AI）技術の利用によってフィッシング攻撃が成功しやすくなっているとセキュリティ専門家は警鐘を鳴らす。AI技術を使った攻撃と従来の攻撃との違いや、攻撃者がどのようなツールを使っているのかを探る。

[Andrew Shikiar，TechTarget]

　一昔前まで、フィッシングメールを見破るのは比較的簡単だった。文法の誤りや誤字脱字などを見て、「これは詐欺だ」とすぐに見破ることができたのだ。しかしそうした時代は終わりつつある。その理由は、「生成AI」（エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術）の台頭だ。攻撃者は生成AIを利用してフィッシングメールをより“リアル”に作成できるようになった。最近のフィッシング攻撃はどう変わってきているのか。

「攻撃専用GPT」が生成する“詐欺メール”の恐ろし過ぎる現実

併せて読みたいお薦め記事

そもそも「パスワードレス認証」とは

• パスワードを使わない「パスワードレス認証」が“より安全”になるのはなぜ？
• “パスワード廃止論”の追い風が吹く「パスワードレス認証」の現在地

　認証関連の業界団体FIDO Alliance が2023年に実施した調査によると、約5割のユーザーが「不審なメールが増えている」「メール詐欺が以前より巧妙になった」と感じている。ITベンダーAAG IT Servicesによると、生成AIを取り入れたフィッシング攻撃は従来と比べ、成功率が3倍以上だ。

　サイバー犯罪者は機密データの窃取をはじめ、金銭の要求や業務の妨害など、さまざまな目的で組織のシステムに侵入する。最近はマルウェア感染によってシステムを使用不可にするランサムウェア（身代金要求型マルウェア）攻撃が活発だ。システムの暗号化はせず、データを盗み出して販売すると脅迫するランサムウェアの手口も広がりつつある。こうした攻撃は、フィッシングメールによる認証情報の不正入手が入り口となっていることがある。

　OpenAIの「ChatGPT」を中心とした生成AIツールはサイバー犯罪者にとって、フィッシング技術を磨き上げるための有効な技術になる。実際、サイバー犯罪者は生成AIを採用し、「FraudGPT」や「WormGPT」といった攻撃ツールを開発している。これらのツールは、人間が作成したものとほぼ区別が付かないフィッシングメールやフィッシングWebサイトを作ることが可能だ。サイバー犯罪者はプロンプト（情報生成のための質問や指示）を入力するだけで作成作業を自動化できる。

　フィッシング攻撃の一種として、生成AIを利用したディープフェイク（実在する人間の特徴を模倣して作られた画像や動画、音声）攻撃もある。サイバー犯罪者は標的従業員の上司などになりすまして認証情報の窃取を図る。ディープフェイク攻撃は一時期、勢いを増していたが、2024年に入って減りつつあるとみられる。

　ディープフェイク攻撃を含め、人の心理を操る手口をソーシャルエンジニアリングと呼ぶ。通信事業者Verizon Communicationsによると、2023年は情報漏えい事件の約7割においてソーシャルエンジニアリングが使われていた。背景には生成AIの利用拡大があると考えられる。

---

　後編は、フィッシング攻撃に対抗するためのツール、パスワードを使わない「パスワードレス認証」を紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。