JP
急増する「生成AIフィッシング」という新たな脅威
ビジネスシーンで生成AIの利用が急速に広がっています。生成AIを活用しながら、メールや文章を作成しているという方も少なくないのではないでしょうか。しかし、生成AIは私たちの日々の業務を便利にする一方、サイバー犯罪者にも同様のメリットをもたらしてしまいます。
生成AIは、英語だけでなく日本語についても自然で違和感のない文章を作成できるため、普段ビジネス上でやり取りをしているメールと見分けがつかないようなフィッシングメールを生成することも難しくありません。
これまで、日本語のフィッシングメールは、「てにをは」が正しく使われていなかったり、誤字や脱字、誤訳が混じった不自然な日本語が使われていたりすることが多くあり、注意深く観察すればフィッシングメールかどうかを判別することも容易でした。
しかし、生成AIを使えば、こうした従来のフィッシングメールとはレベルが異なる標的型フィッシング攻撃を行うことができます。これを、本記事では便宜上「生成AIフィッシング攻撃」と呼称します。
「生成AIらしい」標的型フィッシングの特徴とは
生成AIフィッシング攻撃にはいくつかの特徴があります。1つ目は、日本語が自然で誤字脱字がないことです。文体も丁寧で読みやすく、文面からフィッシングメールと判断することは難しいでしょう。さらに、誤解を与えるような曖昧な表現をあえて使って、相手に判断を委ねるなど「人間らしい曖昧さ」を逆手に取った手口も増えています。
もう1つの特徴として、サイバー攻撃者は会社組織の「文脈」まで理解した文章を使うことがあります。例えば、実在する社長や部門長などの名前を騙って、直近に行われたイベント内容などに触れながら、URLをクリックさせたり、添付ファイルを開かせたりします。送信元や文中の署名に実在の社員名や部署名が使われることもあります。
こうした「文脈」は、ターゲットとなる人物にあわせてパーソナライズ、カスタマイズされるため、攻撃を受けた対象者は「あきらかに自分のこと」だと錯覚しやすくなります。
なぜ人は引っかかるのか?
「脳の判断スキップ」を突く手口
このように高度で巧妙な生成AIフィッシング攻撃ですが、防御側の視点でみると当然、以前よりも対処しにくくなっています。その理由の一つとして、「生成AIフィッシング攻撃は、人間の脳による判断をスキップさせている」と言われています。
人間の脳は「見慣れた情報」には注意を払わず、自動で処理する傾向があります。生成AIで作成したメッセージは、表現が自然で、実在の名前が使われており、業務の自然な流れで受け取るため、「普通の社内連絡」として認識されやすくなります。もしどこかで不審に思うことがあっても、「見なれた情報」に何度も触れることで、無意識に信用してしまうのです。
2つ目は、セキュリティ担当者を含め、業務の担当者、管理責任者などそれぞれが多忙になっていることです。多忙のときはサイバーセキュリティへの意識を向けにくくなり、不審なURLや添付ファイルの中身を確認せずにクリックしやすくなります。生成AIを使ったメールのように自然な文面であれば、クリックの確率はさらに高まることになります。
メールの「気づきポイント」は、
訓練しなければ身につかない
では、どのようにすれば、生成AIフィッシング攻撃に対抗できるようになるのでしょうか。まず重要になるのが「気づき」です。自然な文面の中でも、細かい違和感に気づくことができれば、多忙な中でも適切に対処しやすくなります。
気づく力を養うには、サイバー攻撃の手法や手口を知識として学ぶだけでなく、反射的に対応できるような力を訓練により鍛える必要があります。訓練は、一度実施するだけでなく、定期的に訓練を行うことで、知識や対応力の定着化を図らねばなりません。
もちろん、訓練だけで生成AIフィッシング攻撃に必ず気づけるようになるわけではありません。検知のためのツールやサービスといったテクノロジーを活用していくことも重要です。
サイバー攻撃への防御を強化する教育&
訓練サービスとツールの活用
巧妙化するサイバー攻撃へ組織として防御力を強化するためには具体的にどのようなものがあるのでしょうか。まず挙げられるのが、従業員を対象としたセキュリティ教育サービスの活用です。動画やeラーニングでセキュリティに関する基礎知識を定着。また定期的に「セキュリティ意識チェックテスト」などを行うのも効果的です。
また、「模擬メール訓練」を実施するのも有効でしょう。これは、従業員に向けて実際のフィッシングメールに似た訓練用のメールをランダムに送信し、誰が引っかかったかを可視化し、記録・分析するものです。こうした訓練を行えば、引っかかった対象者に対しては、重点的に教育を行うことができ、また引っかからなかった従業員にもフィッシングメールの脅威を身近に感じてもらうことが期待できます。
またNTTドコモビジネスからはテクノロジー面で、セキュリティを強化するサービスを提供しています。
- ビジネスマホパック
スマートフォンとビジネスに必要な機能をセットにした中小企業向けスマホパッケージです。ウイルス対策とインターネットアクセス制御などもセットで提供されているので、基本的なフィッシング対策をすぐに適用可能です。
- あんしんマネージャーNEXT
国産MDMであるアイキューブドシステムズ「CLOMO MDM」をベースに、NTTドコモビジネス独自の改良を加えたモバイルデバイス管理サービスです。
- あんしんモバイルセキュリティ for ビジネス
スマートデバイスをサイバー攻撃から保護するMTD(モバイル脅威防御)ソリューションです。悪意あるアプリのダウンロードやマルウェアの混入、フィッシングサイトからの情報窃取を防ぐことができます
AI時代のセキュリティは、
「技術」と「人の判断力」が必要
冒頭に触れたように、生成AIフィッシング攻撃は、従来のフィッシングメールとは比べものにならないほど進化しています。人間が読んでも違和感がなく、多忙な業務で多くのメールを受信する中で、適切な判断をすることは簡単ではなくなっています。
だからこそ、フィッシング攻撃を見抜くには、従業員のセキュリティ意識の向上とテクノロジーが重要です。社員の判断力強化とシステムによる防御力強化の両方を進めていくことで、組織は初めてサイバー脅威への真の防御力を手にすることができるでしょう。
