人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。
「生成AI」(エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術)が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。
有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」(Passkey)という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。
生成AIは、人間の言葉遣いを模倣することができる。生成AIを使って作成したフィッシングメールは正しい文法や自然な表現を再現しているため、標的がだまされやすくなっている。従来のフィッシング攻撃対策の研修では、スペルや文法の誤りに敏感になるための訓練がなされていた。しかし生成AIが普及している現在は、それだけではフィッシングメールを見破りにくくなっている。
セキュリティを強化するためのツールの一つがMFA(多要素認証)だが、攻撃者は生成AIを利用することでMFAを回避するための手口を見つけられる可能性がある。そのため、MFAツールを導入しても完全な攻撃防止にはつながらない。では、どうすればいいのか。
強固なセキュリティの鍵を握るのは、「ユーザーフレンドリー」だ。セキュリティの仕組みが従業員にとって使いやすくなければ、継続的かつ徹底的に使ってもらうことが難しい。
ユーザーフレンドリーな認証技術の一つに「パスキー」(Passkey)がある。パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。パスキーを使用することで、パスワードが流出する恐れがなくなる利点もある。
近年、GoogleやApple、Microsoftなど大手ITベンダーは、自社製品やサービスにパスキーを採用することに取り組んでいる。パスキー技術を共同開発しているのは、認証関連の業界団体FIDO Allianceと、インターネット技術の標準化団体World Wide Web Consortium(W3C)だ。パスキーを巡る大手ITベンダーの主な取り組みは以下の通り。
フィッシング攻撃は生成AIによって手口が巧妙になった。そのため、組織はパスワードに頼らず、より安全な認証の仕組みを考えなければならない。パスキーは従業員にとっての使いやすさと、攻撃者にとっての厄介さを両立させる手法であり、生成AIの利用が広がる中で組織にとっての有効な防御策になりつつある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
数分でデータを人質に 進化するランサムウェアに有効な「第2世代EDR」とは (2025/3/4)
クラウドサービスの脆弱性をどう解消する? 安全な開発環境を構築するヒント (2025/3/4)
「複雑、高額、難しい」を変える中堅・中小向けSASEのメリットを解説 (2025/2/10)
「Box」に移行してもなくならない「お守り仕事」を根本から効率化するには? (2025/1/23)
これからのセキュリティ対策に必要な「防御側の優位性」、AIはどう実現する? (2025/1/22)
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。