人工知能(AI)技術の利用によって手口が巧妙になるフィッシング攻撃。被害に遭わないための新たな対策になるのが、パスワードを使用しない「パスワードレス認証」だ。その利点と可能性を探る。
「生成AI」(エンドユーザーの指示を基にテキストや画像、音声などのデータを生成する人工知能技術)が台頭したことを背景にして、フィッシング攻撃が成功しやすくなっている。より巧妙なフィッシング攻撃に対抗するために、組織にはどのような対策が求められているのか。
有効な手段の一つになる可能性があるのが、パスワードを使わない「パスワードレス認証」だ。パスワードレス認証には「パスキー」(Passkey)という認証方法がある。パスワードを使った手法を置き換えていく可能性のあるパスワードレス認証の利点と可能性を探る。
生成AIは、人間の言葉遣いを模倣することができる。生成AIを使って作成したフィッシングメールは正しい文法や自然な表現を再現しているため、標的がだまされやすくなっている。従来のフィッシング攻撃対策の研修では、スペルや文法の誤りに敏感になるための訓練がなされていた。しかし生成AIが普及している現在は、それだけではフィッシングメールを見破りにくくなっている。
セキュリティを強化するためのツールの一つがMFA(多要素認証)だが、攻撃者は生成AIを利用することでMFAを回避するための手口を見つけられる可能性がある。そのため、MFAツールを導入しても完全な攻撃防止にはつながらない。では、どうすればいいのか。
強固なセキュリティの鍵を握るのは、「ユーザーフレンドリー」だ。セキュリティの仕組みが従業員にとって使いやすくなければ、継続的かつ徹底的に使ってもらうことが難しい。
ユーザーフレンドリーな認証技術の一つに「パスキー」(Passkey)がある。パスキーは、パスワードに代わるデジタル認証情報だ。パスワードを使用せずに、顔や指紋といった生体認証を使ってシステムへのアクセスを管理できる。パスキーを使用することで、パスワードが流出する恐れがなくなる利点もある。
近年、GoogleやApple、Microsoftなど大手ITベンダーは、自社製品やサービスにパスキーを採用することに取り組んでいる。パスキー技術を共同開発しているのは、認証関連の業界団体FIDO Allianceと、インターネット技術の標準化団体World Wide Web Consortium(W3C)だ。パスキーを巡る大手ITベンダーの主な取り組みは以下の通り。
フィッシング攻撃は生成AIによって手口が巧妙になった。そのため、組織はパスワードに頼らず、より安全な認証の仕組みを考えなければならない。パスキーは従業員にとっての使いやすさと、攻撃者にとっての厄介さを両立させる手法であり、生成AIの利用が広がる中で組織にとっての有効な防御策になりつつある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
