AIの悪用で被害件数が増加、さらなる巧妙化の懸念
さらにこの手の犯罪を助長しているのが、LLM(大規模学習モデル)を利用した生成AI技術の悪用だ。これまでは、外国語の機械翻訳で作られた言い回しや文法の不自然な日本語メッセージには容易に気付けたが、それが難しくなった。また最近では、高度にパーソナライズされた説得力のあるスピア型のフィッシングメールを生成できるようになったことも大きい。
AIを悪用したスピアフィッシングキャンペーンでは、公開されている情報をスクレイピングし、機械学習を用いて分析することで、パーソナライズされたメッセージを作成して成功の可能性を大幅に高めている。最近の研究(※)によると、従来のフィッシングメールのクリック率は12%だったのに対し、AIが生成したメールの場合は54%に達し、その驚くべき効果が確認されている。
ディープフェイク技術を利用した音声や動画を使って、経営幹部や信頼できる個人になりすますビジネスメール詐欺(BEC)や、現金振り込みサイトへ誘導するソーシャルエンジニアリングもすでに起こっている。
現在のビッシング(ボイスフィッシング)でよく用いられる手口では、会話の最初のみ経営幹部の声や口調を模倣した音声を用意しておく。その後、ネットワークや音声メッセージの不調などを理由に、テキストベースのやり取りに切り替えて、現金の振り込みや機密情報の送信などを指示するといった部分的な活用手法が一般的だ。しかし、これもAI技術の進化にともなって、より自然な音声でのやりとりが遠からず可能になるはずだ。
このように、AIによって従来では考えられなかったサイバー攻撃が可能になっており、攻撃の標的となる側のリテラシー教育だけで十分防げるとは言えない状況になっている。そのため、この分野においても各分野のブランドを有する事業者側の予防的な仕組みづくりがより一層求められているといえるだろう。
※『Evaluating Large Language Models' Capability to Launch Fully Automated Spear Phishing Campaigns: Validated on Human Subjects』(Fred Heiding, Simon Lermen, Andrew Kao, Bruce Schneier, Arun Vishwanath)
