検索
特集/連載

“文章力がすごい”AI型フィッシングメールに対抗するための「最先端の防御策」狙いはあなたの認証情報

「ChatGPT」といった生成AI(人工知能)ツールによってフィッシングメールが進化している。エンドユーザーも腕を磨き上げて、攻撃者のわなにはまらないようにするには。

Share
Tweet
LINE
Hatena

関連キーワード

人工知能 | サイバー攻撃 | セキュリティ


 「文法が間違っている」「表現があまり自然ではない」――。一見して、これは詐欺だと分かるフィッシングメールはもう古い。近年、人工知能(AI)技術を使って正しい文法や自然な表現のメールが作成できるようになったことで、フィッシングメールが見破りにくくなっている。AI技術を用いて事実とは異なる映像や音声、写真を合成する「ディープフェイク」も広がりつつある。高度なフィッシング攻撃に対抗する上で有効な技術やシステム運用方法とは何か。その要点をまとめた。

AI型フィッシングに対抗するための「3つのポイント」と有効な技術

 フィッシングとは、人の心理を巧みに操って意図通りの行動をさせる詐欺手法「ソーシャルエンジニアリング」によって、標的に不正送金をさせたり、システムの認証情報を聞いたりする攻撃だ。フィッシングはもともと、不特定多数の人に送信する手口から始まり、標的を絞って個別にカスタマイズされた攻撃へと進化してきた。その手法としては、“定番”のメールに加え、以下の新たな手法も登場している。

  • ビッシング(Voice Phishing)
    • 知り合いや上司の声を偽装した音声によるフィッシング。
  • スミッシング
    • スマートフォンのショートメッセージサービス(SMS)機能を利用したフィッシング。
  • クイッシング
    • 偽のQRコードを読み取らせるフィッシング。
  • ゾンビフィッシング
    • 進行中のメールスレッドを乗っ取り、標的の警戒心を低下させるフィッシング。

 最近は攻撃者がAI技術を悪用することで、フィッシングの手口がいっそう巧妙化している。文法を誤ることなく複数言語でメールを作成することはもちろん、パターン認識によって標的の特徴や弱点を分析し、それに合ったフィッシングメールを作ることも可能だ。ディープフェイクを使えば、視覚的な信頼性を高めて標的をだませる。

 AI技術によって、かつては重要な手掛かりだった「違和感」が無力化されつつあるのが現状だ。訓練を受け、セキュリティ意識が高いエンドユーザーでも、AI技術を駆使したフィッシング攻撃に気付かない可能性がある。フィッシング攻撃によってシステムの認証情報が流出すれば、ランサムウェア(身代金要求型マルウェア)攻撃などにつながる恐れがある。

 フィッシング攻撃に対抗するための技術の一つが、MFA(多要素認証)だ。しかしMFAも万全な対策ではない。近年は、MFAの通知を連続でエンドユーザーに送って疲弊させ、誤って承認させる手口「MFA疲れ」が広がっている。正規Webサイトとエンドユーザーの間に割り込む「中間者攻撃」(「MITM」や「AITM」とも)は、エンドユーザーの認証情報をリアルタイムで窃取することを可能にする。

 では、組織はどのような対策を講じればいいのか。以下で、フィッシング攻撃のリスクを減らすためのポイントを見てみよう。

  • 古いセキュリティツールを使用しない
    • 従来のファイアウォールやマルウェア対策ソフトウェアは、社内LANとインターネットの境界を中心に保護するものであり、最新の脅威には対処できない可能性がある。セキュリティツールを定期的に見直し、新しいものを使おう。
  • 人間の脆弱(ぜいじゃく)性をなくす
    • 徹底的なセキュリティ教育によって従業員の意識を向上させ、フィッシング攻撃に対するリテラシーを高めることが重要だ。
  • AI技術の悪用を想定する
    • セキュリティ教育の一環として、AI技術によるフィッシング攻撃の具体的なシナリオとその対策を従業員にレクチャーする。

それでもフィッシング攻撃を受けたら

 フィッシング攻撃は、完全に防ぐことは難しい。以下で、認証情報が流出した場合でも、攻撃者の侵入による被害を抑えるための技術やツールを紹介する。

  • パスワードを使わない認証技術
    • 認証関連の業界団体FIDO Allianceによるパスワードレス認証技術「FIDO2」や、FIDO2をベースとしたパスワードレス認証技術「Web Authentication」(WebAuthn)を使えば、パスワードによる従来の認証手法と比べ、セキュリティを強化できる。
  • AI技術を活用したセキュリティツール
    • AI技術を悪用する攻撃にはAI技術で対抗しよう。AI技術を取り入れた脅威検出システムを採用することで、脅威の早期発見と対処が可能になる。
  • ゼロトラストセキュリティ
    • 社内外を問わず、全ての通信に潜在的な脅威があると考えて認証を求めるのが「ゼロトラストセキュリティ」だ。ゼロトラストセキュリティを実装することで、不正アクセスのリスク軽減を図れる。

 AI時代のフィッシング攻撃は、単一の対策で防ぐことは難しい。先進技術、ユーザーの訓練、強固なセキュリティポリシーを組み合わせた総合的アプローチが不可欠だ。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る