AI活用でアタックサーフェスが急拡大……新脅威に打ち勝つ「プロアクティブセキュリティ」実現の3要素

攻撃者もAIを使って業務を“効率化”　判別困難な攻撃の急増

　岡本氏はまず、近年のAIがもたらすサイバー攻撃の変化について紹介した。AIは医療、産業、漁業など幅広い分野で業務効率化に貢献している一方で、その恩恵は攻撃者にも及び、既にサイバー攻撃に悪用され始めている。

　なかでも顕著な変化が見られる手口が、フィッシング攻撃だ。従来のフィッシングメールは、スペルミスや文法の誤り、送信元が無料メールサービスであるといった“稚拙な”特徴により、セキュリティ教育を受けた者であれば容易に識別可能だった。しかし現在、生成AIを活用することで攻撃者は違和感のない高品質な文面を短時間で作成できるようになっている。

　「AIの悪用によりフィッシング攻撃の成功率は向上し、同時にその攻撃プロセスも効率化され始めている」と岡本氏は続ける。攻撃成功率の面では、従来の文法ミスや不自然な表現が大幅に改善された。生成AIが作成する「ミスの少ない正確な文章」により、セキュリティ教育を受けた者でも見破ることが困難になっている。その攻撃プロセスにおいても、SNSからターゲットに関する情報収集、メール文面作成の自動化によって“個別最適化された”攻撃を大量かつ効率的に行えるようになった。

　実際に同氏が講演中にデモンストレーションで示した事例では、生成AIを使って英語のフィッシングメールを日本語に翻訳し、「IT部門からの緊急のセキュリティ通知」としてパスワード変更を促す極めて自然な文面を生成。この文面は、一般的なビジネスメールと見分けが付かないレベルの完成度になっており、従来のような「文章の違和感によるフィッシングメールの判別」が困難になっている。

　さらに、攻撃者はAIを活用してビジネスSNSから標的となる個人の詳細情報を自動収集するコードなども生成しているという。収集した情報を基に、個人に特化したフィッシングメールを大量生産しているのだ。

　「攻撃者も、皆さんと同じように業務効率化の文脈でAIを活用しています。これにより、攻撃の自動化と高速化が急速に進んでいるのです」（岡本氏）

香港企業では約38億円の損害も……ディープフェイク詐欺の脅威

　AI技術の悪用でより衝撃的な攻撃が、「フェイススワップ（顔を入れ替えて人を騙す手法）」を悪用したディープフェイクだ。岡本氏は、実際の攻撃手順をデモンストレーションも交えて解説しながら、その巧妙さと危険性を実証した。

　攻撃者が事業部長になりすまして部下から機密情報を騙し取る、という攻撃シナリオを例に詳しく見ていこう。まず攻撃者は、LinkedInなどのSNSでなりすまし対象となる事業部長の経歴や部下関係を調査する。次に、動画サイトなど公開されている事業部長の動画から顔の動きや表情を学習させ、ディープフェイクモデルを構築する。

　デモンストレーションでは、実際のビデオ通話での情報窃取の様子が示された。攻撃者の顔がリアルタイムで事業部長の顔と入れ替わり、ビデオ会議で部下に「対面会議中でWi-Fiに接続できないため、新製品のエンジニアリング仕様を至急送ってほしい」と依頼する。部下はまったく疑うことなく、機密情報の送信を了承した。

　「フィッシングメールであれば文面などで違和感に気づけるかもしれませんが、リアルタイムで話しているビデオ会議の場合はまさかこれが詐欺であるとは気づきにくく、一定のセキュリティリテラシーを持っている方でも被害に遭ってしまう場合があります」（岡本氏）

　実際、世界各国でディープフェイク詐欺の深刻な被害が発生している。香港のグローバル企業では、約38億円にのぼる詐欺被害が報告されているほか、著名人を騙る偽動画による暗号通貨詐欺、広告代理店のCEOを騙るビデオ会議で金銭と個人情報を要求するといった事例も確認されている。

　こうした手法は今後日本国内でも同様の被害が発生する可能性が高く、従来のセキュリティ対策では対応が困難な新たな脅威として警戒が必要だ。