「攻撃専用GPT」が生成する“見破れない詐欺メール” その恐ろし過ぎる現実生成AIで変わる攻撃と対策【前編】

人工知能(AI)技術の利用によってフィッシング攻撃が成功しやすくなっているとセキュリティ専門家は警鐘を鳴らす。AI技術を使った攻撃と従来の攻撃との違いや、攻撃者がどのようなツールを使っているのかを探る。

2024年04月19日 07時00分 公開
[Andrew ShikiarTechTarget]

関連キーワード

人工知能 | パスワード | セキュリティ


 一昔前まで、フィッシングメールを見破るのは比較的簡単だった。文法の誤りや誤字脱字などを見て、「これは詐欺だ」とすぐに見破ることができたのだ。しかしそうした時代は終わりつつある。その理由は、「生成AI」(エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術)の台頭だ。攻撃者は生成AIを利用してフィッシングメールをより“リアル”に作成できるようになった。最近のフィッシング攻撃はどう変わってきているのか。

「攻撃専用GPT」が生成する“詐欺メール”の恐ろし過ぎる現実

 認証関連の業界団体FIDO Alliance が2023年に実施した調査によると、約5割のユーザーが「不審なメールが増えている」「メール詐欺が以前より巧妙になった」と感じている。ITベンダーAAG IT Servicesによると、生成AIを取り入れたフィッシング攻撃は従来と比べ、成功率が3倍以上だ。

 サイバー犯罪者は機密データの窃取をはじめ、金銭の要求や業務の妨害など、さまざまな目的で組織のシステムに侵入する。最近はマルウェア感染によってシステムを使用不可にするランサムウェア(身代金要求型マルウェア)攻撃が活発だ。システムの暗号化はせず、データを盗み出して販売すると脅迫するランサムウェアの手口も広がりつつある。こうした攻撃は、フィッシングメールによる認証情報の不正入手が入り口となっていることがある。

 OpenAIの「ChatGPT」を中心とした生成AIツールはサイバー犯罪者にとって、フィッシング技術を磨き上げるための有効な技術になる。実際、サイバー犯罪者は生成AIを採用し、「FraudGPT」や「WormGPT」といった攻撃ツールを開発している。これらのツールは、人間が作成したものとほぼ区別が付かないフィッシングメールやフィッシングWebサイトを作ることが可能だ。サイバー犯罪者はプロンプト(情報生成のための質問や指示)を入力するだけで作成作業を自動化できる。

 フィッシング攻撃の一種として、生成AIを利用したディープフェイク(実在する人間の特徴を模倣して作られた画像や動画、音声)攻撃もある。サイバー犯罪者は標的従業員の上司などになりすまして認証情報の窃取を図る。ディープフェイク攻撃は一時期、勢いを増していたが、2024年に入って減りつつあるとみられる。

 ディープフェイク攻撃を含め、人の心理を操る手口をソーシャルエンジニアリングと呼ぶ。通信事業者Verizon Communicationsによると、2023年は情報漏えい事件の約7割においてソーシャルエンジニアリングが使われていた。背景には生成AIの利用拡大があると考えられる。


 後編は、フィッシング攻撃に対抗するためのツール、パスワードを使わない「パスワードレス認証」を紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news205.png

博報堂が提唱 AIエージェントとの対話を起点とした新たな購買行動モデル「DREAM」とは?
博報堂買物研究所が2025年の購買体験を予測する「買物フォーキャスト2025」を発表し、AI...

news189.jpg

B2B企業の約6割が2025年度のWeb広告予算を「増やす予定」と回答
キーワードマーケティングは、2025年度のマーケティング予算策定に関与しているB2B企業の...

news179.png

生成AIの利用、学生は全体の3倍以上 使い道は?
インテージは、生成AIの利用実態を明らかにするための複合的調査を実施し、結果を公表した。