Selphish Threat Intelligence – 大規模言語モデルを含む生成型AIが悪用され、攻撃メールがより巧妙に!
現在、至る所で生成AIが活用されています。
AIは私たちの仕事や日常生活によい効果がある一方、弊害もあります。
非常に残念ながら、悪意のあるサイバー犯罪者は、既に大規模言語(LLM)をはじめとする生成AIを利用して、攻撃メールをより洗練されたものに磨いています。生成AIを悪用する方法が進化したことで、人もメールフィルターも攻撃メールを検出することがますます困難になっています。
マイナビ Tech+ – AIが生成した文章によるフィッシング詐欺が現実になりつつある
https://news.mynavi.jp/techplus/article/20230117-2564656/
生成AIには、サイバー犯罪などに悪用するのを防ぐための安全対策があります。
しかし安全対策を回避するのは比較的容易です。以下の例をご覧ください:
上記の例からもわかるように、生成AIの安全対策を回避するのは非常に簡単です。
さらに、安全対策を一切設けていないAIモデルも存在します。恐ろしい現実が到来しています。
フィッシング・標的型攻撃メール・ビジネスメール詐欺の本文がより自然に:
生成AIが悪用されることでフィッシング、標的型攻撃メール、ビジネスメール詐欺の本文がより自然になるでしょう。
これまでは、攻撃メール(主にスパムフィッシング)を特定する主な方法の一つは、不自然な日本語の使用でした。
しかし、生成AIの登場により、外国の攻撃者も日本語の複雑さを乗り越えられるようになっています。
生成AIの急速な進化が今後も続くと、特定の個人の表現を学習し特定の個人や組織に合わせたメールが生成できるようになるでしょう。
生成されたメールは、ビジネスメール詐欺(BEC)などの標的型攻撃の手段として使用される可能性があります。
INTERNET Watch – 「ChatGPT」は便利だけど…日本語での本格的なネット詐欺メールが急増する可能性も?
https://internet.watch.impress.co.jp/docs/column/dlis/1485496.html
AI生成による攻撃メール攻撃メールに遭わないためのチェックポイント
1. あまりにも完璧な形式の文章に警戒する:
AIによって生成されたメールは、文法が完璧で洗練された言葉遣いをしており、巧妙になるため、見破るのが難しいです。
これは言語の正しい文法や正確な言葉遣いが多く学習されているからです。
ビジネスや日常会話で使わないほど形式ばったり、非常に上手く書かれているメールには注意が必要です。これらはAIが相手を欺くために作られた可能性があります。
2. AI技術の新たな進化について学ぶ:
メール詐欺に使われるAIの最新の進展を自分自身やチームで学びましょう。
定期的な情報収集が、AIによるフィッシングの試みを見抜き、対応するのに役立ちます。
3. メールの要求内容を疑う:
受け取ったメールの意図を常に確認してください。
正規の組織はメールでパスワードや支払情報などの機密情報を求めることはありません。緊急を要する行動や個人データの提供を求めるメールは、詐欺の可能性が高いです。
4. 送信者情報を確認する:
送信者の情報、特にメールアドレスやドメイン名を慎重に調べてください。
わずかな不一致がなりすましを示す兆候です。送信者が正規であるとしても、既知の連絡先情報と照らし合わせて確認してください。
5. 必要なら他の手段で確認を:
メールが怪しい場合や通常と異なる場合は、別の通信手段を使ってその正当性を確認してください。
疑わしいメールに記載されている連絡先情報を使用せず、信頼できるソースから取得した電話番号やメールアドレスを用いて、送信者に直接連絡しましょう。
具体的な対策
AIによって生成されたフィッシングメールは正規の情報源を模倣することが多く巧妙で、受信者を騙せる可能性があります。
一見すると正当なメールに見えるものでも、受信者は警戒心を持ち、最新のサイバー脅威に対して敏感である必要があります。
このような攻撃から身を守るための効果的な手段の一つが、メール訓練サービスの利用です。
メール訓練により従業員はフィッシングメールを見極め、実際の攻撃に似せた練習メールを通じて、適切な対応方法(例えば、適切な部署への迅速な報告)を身に付けることができます。
神戸デジタル・ラボが提供するSelphish(セルフィッシュ)は、メール訓練を初めて導入する組織でも容易に取り組めるよう、直感的な操作が可能な管理画面のUI/UXに特化して開発されています。
さらに、高度なカスタマイズ性も併せ持ち、訓練メールの文面や差出人アドレスの変更を無料で柔軟に行えます。
まとめ
権威ある情報源からの通知を装ったフィッシング詐欺は、個人だけでなく法人にとっても看過できないリスクをもたらします。
Selphishのメール訓練サービスを利用することで、従業員をフィッシングの脅威から守り、組織全体のセキュリティ意識を高めることが推奨されます。
実践的な訓練を通じて、従業員はフィッシング攻撃を見破り、適切に対処する能力を身につけることができます。