「メール訓練で開封率は1%まで下げられる」増えるフィッシング、8200部隊出身の識者が警鐘鳴らす
攻撃者が「FraudGPT」で成功率を高めるなか、メール訓練をより効率的に実施するには
成功したランサムウェア攻撃を分析すると、ほとんどのケースで「フィッシング」や「ソーシャルエンジニアリング」が入り口になっている。かつてハッカーはソフトウェアの脆弱性を狙っていたが、十分に脆弱性対策が進んだ現在では、“人間の隙”を突く方が遥かに効率的だ。特に攻撃者にとっては、AIを活用することで効率良くフィッシングメールを作成できる時代にもなった。では、企業側の担当者はどのように対策を講じればよいのか。そのポイントについてAironWorksの有識者2名が解説する。
ダークウェブで提供される、犯罪者向けの生成AIサービス
「AI」はサイバー攻撃の世界すら様変わりさせている。もはや攻撃者にとってLLMやディープフェイク動画の作成ツールは、攻撃の成功率を高めるために欠かせない武器となった。2024年に米国のCISOを対象にした調査では、AIリスク関連の予算が劇的に増加したことが報告されている。その中で最大のリスクと目されているのは、AIによるフィッシング攻撃だ。
とはいえ日本では、AIによるフィッシング攻撃への危機感はまだそう高くないのが現状だろう。そこには保守的なスタンスはもちろん、セキュリティ予算も関係してくるとしてイスラエル国防軍8200部隊出身で、AironWorks 共同創業者/CTOのゴネン・クラック氏は「米国では常に次の脅威に警戒しており、事前準備を重視する傾向にあります。加えてサイバーセキュリティ対策に多くの予算が投資されています」と説明する。
現在フィッシング攻撃において、大きな脅威として警戒されているのは、ダークウェブ上で提供される「FraudGPT」という悪意ある生成AIツール(プラットフォーム)だ。特に警戒すべきがスピアフィッシング向けの機能で、標的に関する情報を収集した上で効果的なフィッシングメールを生成できる。他にも本物に似せたWebサイトの作成、Webサイトをスキャンして脆弱性を検出するといった機能が月額数百ドル程度で利用できてしまう。これほど攻撃者に有利なツールがあれば、今後ますますサイバー攻撃が高度化・巧妙化していくと見ていいだろう。
また過去10年における傾向から「ソフトウェアの安全性が高まっている」とクラック氏は話す。昨今、OSやブラウザの脆弱性を見つけることが難しくなっており、攻撃者はソフトウェアの脆弱性ではなく、人間の脆弱性に活路を見いだすようになってきた。
「組織に侵入するための最も簡単な方法は『人の脆弱性』との認識が広まりつつあります。ソフトウェアの脆弱性を見つけるより、従業員を騙してマルウェアをインストールしたり、クレデンシャルを入手して侵入したりする方が簡単で効率的だからです」(クラック氏)
2025年1月、ハーバード大学の研究者らは、大規模調査に基づいたフィッシングメールに関する興味深い論文を発表した。被験者を4つのグループに分け、フィッシングメールのクリック率を比較。第1グループには人間がテンプレートを元に作成したフィッシングメールを、第2グループには専門家が作成した洗練されたフィッシングメールを、第3グループにはAIモデルのみを使用したものを、第4グループには人間がAIモデルに指示して作成したものをそれぞれ送信した。
そうするとAIモデルを使用したものは、専門家が作成したものと同等との結果が表れたのだ。「最新のAIでは、専門家が作成するものと同レベルのフィッシングメールを作成できることを示しています。この点において、AIは人間に追いついたと言えるでしょう」と警鐘を鳴らす。
この記事は参考になりましたか?
- Security Online Day 2025 春の陣レポート連載記事一覧
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:AironWorks株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
