人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。
「生成AI」(エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術)が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。
有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」(Passkey)という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。
生成AIは、人間の言葉遣いを模倣することができる。生成AIを使って作成したフィッシングメールは正しい文法や自然な表現を再現しているため、標的がだまされやすくなっている。従来のフィッシング攻撃対策の研修では、スペルや文法の誤りに敏感になるための訓練がなされていた。しかし生成AIが普及している現在は、それだけではフィッシングメールを見破りにくくなっている。
セキュリティを強化するためのツールの一つがMFA(多要素認証)だが、攻撃者は生成AIを利用することでMFAを回避するための手口を見つけられる可能性がある。そのため、MFAツールを導入しても完全な攻撃防止にはつながらない。では、どうすればいいのか。
強固なセキュリティの鍵を握るのは、「ユーザーフレンドリー」だ。セキュリティの仕組みが従業員にとって使いやすくなければ、継続的かつ徹底的に使ってもらうことが難しい。
ユーザーフレンドリーな認証技術の一つに「パスキー」(Passkey)がある。パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。パスキーを使用することで、パスワードが流出する恐れがなくなる利点もある。
近年、GoogleやApple、Microsoftなど大手ITベンダーは、自社製品やサービスにパスキーを採用することに取り組んでいる。パスキー技術を共同開発しているのは、認証関連の業界団体FIDO Allianceと、インターネット技術の標準化団体World Wide Web Consortium(W3C)だ。パスキーを巡る大手ITベンダーの主な取り組みは以下の通り。
フィッシング攻撃は生成AIによって手口が巧妙になった。そのため、組織はパスワードに頼らず、より安全な認証の仕組みを考えなければならない。パスキーは従業員にとっての使いやすさと、攻撃者にとっての厄介さを両立させる手法であり、生成AIの利用が広がる中で組織にとっての有効な防御策になりつつある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
楽天グループが「楽天市場」出店店舗向けに「楽天AI大学」を公開
2024年3月より提供している店舗運営支援ツール「RMS AIアシスタント β版」に加え、AIツ...
中国発AIソーシャル工作のゾッとする実態をMicrosoftがレポート
Microsoftが中国を拠点とする影響力工作の増加についてのレポートを発表した。これは米国...
顧客の応募可能性をレシートで分析 読売新聞が新たな販促キャンペーンサービスを提供
システムインテグレーターのビーマップと同社子会社のMMSマーケティングは、読売新聞東京...