ダークウェブで提供される、犯罪者向けの生成AIサービス
「AI」はサイバー攻撃の世界すら様変わりさせている。もはや攻撃者にとってLLMやディープフェイク動画の作成ツールは、攻撃の成功率を高めるために欠かせない武器となった。2024年に米国のCISOを対象にした調査では、AIリスク関連の予算が劇的に増加したことが報告されている。その中で最大のリスクと目されているのは、AIによるフィッシング攻撃だ。
とはいえ日本では、AIによるフィッシング攻撃への危機感はまだそう高くないのが現状だろう。そこには保守的なスタンスはもちろん、セキュリティ予算も関係してくるとしてイスラエル国防軍8200部隊出身で、AironWorks 共同創業者/CTOのゴネン・クラック氏は「米国では常に次の脅威に警戒しており、事前準備を重視する傾向にあります。加えてサイバーセキュリティ対策に多くの予算が投資されています」と説明する。
現在フィッシング攻撃において、大きな脅威として警戒されているのは、ダークウェブ上で提供される「FraudGPT」という悪意ある生成AIツール(プラットフォーム)だ。特に警戒すべきがスピアフィッシング向けの機能で、標的に関する情報を収集した上で効果的なフィッシングメールを生成できる。他にも本物に似せたWebサイトの作成、Webサイトをスキャンして脆弱性を検出するといった機能が月額数百ドル程度で利用できてしまう。これほど攻撃者に有利なツールがあれば、今後ますますサイバー攻撃が高度化・巧妙化していくと見ていいだろう。
また過去10年における傾向から「ソフトウェアの安全性が高まっている」とクラック氏は話す。昨今、OSやブラウザの脆弱性を見つけることが難しくなっており、攻撃者はソフトウェアの脆弱性ではなく、人間の脆弱性に活路を見いだすようになってきた。
「組織に侵入するための最も簡単な方法は『人の脆弱性』との認識が広まりつつあります。ソフトウェアの脆弱性を見つけるより、従業員を騙してマルウェアをインストールしたり、クレデンシャルを入手して侵入したりする方が簡単で効率的だからです」(クラック氏)
2025年1月、ハーバード大学の研究者らは、大規模調査に基づいたフィッシングメールに関する興味深い論文を発表した。被験者を4つのグループに分け、フィッシングメールのクリック率を比較。第1グループには人間がテンプレートを元に作成したフィッシングメールを、第2グループには専門家が作成した洗練されたフィッシングメールを、第3グループにはAIモデルのみを使用したものを、第4グループには人間がAIモデルに指示して作成したものをそれぞれ送信した。
そうするとAIモデルを使用したものは、専門家が作成したものと同等との結果が表れたのだ。「最新のAIでは、専門家が作成するものと同レベルのフィッシングメールを作成できることを示しています。この点において、AIは人間に追いついたと言えるでしょう」と警鐘を鳴らす。
