社員が退職する際、会社内のアカウントの引き継ぎはスム
サイバー犯罪者は、AI を悪用して、パスワードクラッキング、フィッシングメール、ディープフェイク、なりすましやマルウェア攻撃など、さまざまなサイバー攻撃を仕掛けてきます。サイバー犯罪者が AI をどのように悪用しているのかを理解することは重要です。それを理解できれば、アカウントやデータとともに、自分と家族の身を守るためのよりよい対策を講じられるようになります。
ここでは、AI を悪用したサイバー攻撃とそのような攻撃から身を守るための対策についてご説明します。
人工知能(AI)とは?
人工知能とは、人間の知能を模倣した技術の一種です。AI は基本的に、人間の手を借りずにコンピューターだけでパターン認識、意思決定、問題解決などを行えるようにするためのものです。広く知られている AI ツールの中には、ChatGPT のような大規模な言語モデルがあります。
AI の悪意したサイバー攻撃などの手口
サイバー犯罪者が AI を悪用してサイバー攻撃を仕掛ける方法をいくつかご紹介します。
AI を利用したパスワードクラッキング
パスワードクラッキングとは、サイバー犯罪者がパスワードの解読に使う技術です。サイバー犯罪者は、これを行うためにパスワードクラッキングプログラムをよく使います。このプログラムは、一般的に使用されるパスワードや辞書に載っている単語を組み合わせて、パスワードが見つかるまでクラッキングを繰り返し試行します。これは、ブルートフォース(総当たり)攻撃とも呼ばれます。
Home Security Heroes の最近のレポートで、AI は一般的に使用されているパスワードを簡単に解読できることが明らかになりました。これは、アカウントに強力なパスワードを使用していない人たちにとっては、大きなセキュリティリスクとなります。このレポートでは、PassGAN と呼ばれる AI を利用したパスワードクラッキングツールを使って、一般的に使用されている 1,500 万件以上のパスワードを解読するという実験を行いました。その結果、パスワードの 51% が1分以内、65% が 1時間以内、81%が 1ヶ月以内に解読できました。
AI が生成したフィッシングメール
フィッシングとは、偽情報を信じ込ませて機密情報を盗み出そうとするソーシャルエンジニアリング攻撃の一種です。従来のフィッシングメールには文法上の間違いやスペルミスが多く、容易に見破ることができました。しかし今では、サイバー犯罪者は AI を使って説得力のある文章を簡単に作成できるようになっています。サイバー犯罪者は、フィッシングメールやテキストメッセージを自分で書かずに AI によって作成します。例えば AI によって生成されたフィッシングメールは、言語や言い回しとともに、正規のメールの口調を模倣できます。これにより、詐欺メールの信憑性が高まります。サイバー犯罪者は AI を使って、インターネットから得た情報や、AI に取り込んだ情報に基づいてメールをパーソナライズすることもできます。
AI によるなりすまし
AI によるなりすましは、サイバー犯罪者のビッシング詐欺の手口においてますます一般化しています。ビッシング詐欺とは、電話を介して行われるフィッシング詐欺の一種です。ビッシング詐欺で、サイバー犯罪者はターゲットの同僚、友人、家族といった親しい人なりすまして電話をかけます。
AI アルゴリズムは大量のデータを分析して偽の人格を作り出すことができます。合成と呼ばれる技術を使えば、サイバー犯罪者は AI の助けを借りて誰かの声色をまねることもできます。音声や動画データからターゲットの声を分析し、なりすましたい人物そっくりの声を生成することで、これを実現します。
AI の高度化に伴い、このようなビッシング詐欺はますます一般化しています。
ディープフェイク
ディープフェイクとは、AI を使って作られた偽のメディアのことで、人の顔や体のパーツを加工し、別人に見せかける技術です。ディープフェイクは、偽情報を広めるための悪意のある手段として、たびたび使われています。この技術は以前から存在していましたが、技術の進歩に伴い見破ることはほとんど不可能になっています。法執行機関の職員でさえ、ディープフェイクを見破るのに苦労しています。
AI を悪用したサイバー攻撃から身を守る対策方法
AI を悪用したサイバー攻撃から身を守る対策方法をいくつかご紹介します。
アカウントを保護する
データ漏洩を防ぐには、アカウントに強力なセキュリティ対策を施す必要があります。つまり、強力でユニークなパスワードを使用し、可能であれば多要素認証(MFA)を有効にしておくということです。
強力なパスワードは、16 文字以上で、大文字、小文字、数字、記号を使って作成し、決して使い回してはいけません。強力なパスワードを自分で考えるのは面倒ですが、パスワードマネージャーはパスワードの作成と管理を代行してくれます。
パスワードマネージャーは、ユーザーがパスワードを生成、管理し、安全に保管するのを手助けするツールです。最高のパスワードマネージャーはパスキーも保存できます。ユーザーが覚えなければいけないパスワードは、ボルトへのアクセスに必要なマスターパスワードだけです。
多要素認証は、あなたのアカウントに追加すべきセキュリティの追加レイヤーです。MFA を有効にすると、予め選択した認証方法(認証アプリなど)で本人確認を行わない限り、自分のアカウントにログインすることはできません。
個人情報の提供要求には応じない
フィッシング詐欺の目的は、アカウントに不正アクセへスしたり、金銭を盗み取ったりするのに必要な個人情報をターゲットに提供させることです。フィッシング詐欺は、メール、電話、テキストメッセージを使って実行されることがあるため、共有する情報には常に注意を払うことが重要です。
例えば、銀行からカード番号などの機密情報の提供を要求するメールを受け取ってもすぐに信用してはいけません。ほとんどの企業は、突然連絡して個人情報を要求するようなことはしません。個人情報を提供する前に、会社や人に直接連絡して相手が本物なのかを確認しましょう。会社に連絡する場合は、必ず正規のウェブサイトから電話番号を入手します。
一方的に送られてきたリンクや添付ファイルをクリックしない
一般的なフィッシング詐欺も、悪意のあるリンクや添付ファイルをクリックさせようとします。予期しないリンクや添付ファイルを受け取った場合は、クリックしないのが一番です。クリックするとマルウェアに感染し、すべての機密データが漏洩のリスクにさらされる恐れがあります。
データを定期的にバックアップする
デバイスに保存されているデータは、常にバックアップを取っておく必要があります。これはサイバーセキュリティのベストプラクティスであるだけでなく、デバイスの盗難、紛失、破損時のデータ保護につながります。バックアップがあればデバイスがマルウェアに感染してもデータが完全に失われることはありません。
弊社では暗号化サービスを使用してデータを保存することをお勧めしています。パスワードマネージャーによっては、パスワード以外のデータを保存できるという追加的な価値を提供しているものもあります。例えば、Keeper パスワードマネージャーは、ファイルや画像などあらゆるデータを保存できる Secure File Storage アドオンを提供しています。保存されるデータはすべて暗号化され、ユーザーだけがアクセスできます。セキュアファイルストレージのようなサービスを使ってデータを定期的にバックアップすることで、データが不正行為を働く人の手に渡らないよう保護することができます。
ソフトウェアとデバイスを常に最新の状態に保つ
もう 1 つのサイバーセキュリティのベストプラクティスは、新しいアップデートが配布されたらすぐにソフトウェアとデバイスに適用することです。アップデートには新機能だけでなく、すぐに適用しないと悪用されてしまうセキュリティ上の欠陥や脆弱性に対するパッチも含まれます。サイバー犯罪者はこのような脆弱性を探すことが多く、それを悪用して無防備なユーザーを攻撃します。
家族と秘密の合い言葉を作る
AI を利用したビッシング詐欺が増加しているため、家族と秘密の合い言葉を作ることをお勧めします。ビッシング詐欺の中には、高齢者を騙して電話口の人間を孫だと信じ込ませようとするものもあります。典型的な例として、サイバー犯罪者は、交通事故に遭ったり、刑務所に入れられたりしてお金が必要になったというようなシナリオを使います。家族と秘密の合い言葉を作っておけば、電話をかけてきた相手が助けが必要な本当の家族なのか、詐欺師なのかをすぐに見極められます。
まとめ:AI を悪用したサイバー攻撃から身を守ろう
AI の急速な技術革新は特定のタスクに役立つ一方で、サイバーセキュリティにとっては大きなリスクになり得ます。AI を利用したサイバー攻撃の最新情報を常に把握し、サイバーセキュリティのベストプラクティスを実践することが重要です。そうすればアカウントの漏洩、経済的な損失、ID の盗難につながるサイバー攻撃の被害に遭うことを防ぐことができます。
Keeperのパスワードマネージャーを使って、ブラウザから切り離して、常にパスワードを安全なクラウドストレージであるボルトに保存しておくこともAIを悪用したサイバー攻撃から身を守る一つの手段です。
この機会にKeeperパスワードマネージャーの無料30日間トライアル体験を試してみてはいかがでしょうか。