サイバーセキュリティ 
F1はスピード、精度、データで決まるスポーツ。 コン
フィッシング攻撃は、サイバー犯罪者が他人になりすますことで被害者をだまし、パスワードやクレジットカード番号などの個人情報を提供させようとするものです。 人工知能(AI)は、サイバー犯罪者が信頼できる人であるかのように装ったフィッシングメッセージを書いたり、他人の声をまねしたり、ターゲットをリサーチをしたり、ディープフェイクを作成したりすることで、フィッシング攻撃を実行しやすくしています。 このような攻撃に AI を利用することで、サイバー犯罪者は自分をより信頼できる人のように見せかけるため、より多くの被害者が個人情報や金銭を送るように仕向けられています。 Keeper® が委託した 2024 年の調査によると、IT 業界のリーダーは AI を利用した攻撃が 51% 増加していることを目の当たりにしています。
サイバー犯罪者がフィッシング攻撃でどのように AI を利用しているか、AI が利用されている例、そしてこうした攻撃から身を守る方法については、続きをお読みください。
サイバー犯罪者がフィッシング攻撃に AI を利用する方法
AI の登場により、サイバー犯罪者が個人と企業の両方に対して行うフィッシング攻撃がより危険なものになっています。
AI を使った文章の作成
ChatGPT のような生成 AI ツールを利用することで、サイバー犯罪者は典型的な文法エラーやスペルミスなどがないフィッシングメッセージを作成できます。 これがサイバー犯罪者にとっていかに簡単なことであるかを示すために、私は ChatGPT にフィッシングメールを作成するように依頼しました。 私が入力した内容はすぐに削除され、ChatGPT には「このコンテンツは当社の利用ポリシーに違反している可能性があります」と表示されました。 こうした違反にもかかわらず、ChatGPT はフィッシングメールの例を作成したのです。 ChatGPT による作成結果は以下のとおりです。
一般的なフィッシングメールとは異なり、このメッセージには文法上の誤りやスペルミスは含まれていません。 ChatGPT のような生成 AI ツールを利用するサイバー犯罪者は、情報をわたすように要求する際のフレーズを考える必要がないのです。 ChatGPT の作成したメッセージには、緊急を思わせる文言やサイバー犯罪者がフィッシングリンクを挿入すべき場所、さらには「言うことを聞かないとあなたのアカウントは停止される」という脅し文句まで含まれていました。
AI を使ったリサーチ
生成 AI を利用することで、サイバー犯罪者はターゲットを探しやすくなります。 FBI は今年の初めに、サイバー犯罪者が AI を使って作成する、よりパーソナライズされ、カスタマイズされたメッセージの受信について個人や企業に警告を発しました。 サイバー犯罪者がそれぞれのターゲットを調査するには時間がかかりますが、AI は情報を処理して組み合わせることで、その作業をスピードアップしてしまうのです。 そのため、サイバー犯罪者は調査にさしたる時間を費やすことなく、ターゲットとその関心事についてより詳しく知ることができます。
AI を使ってなりすます
状況によっては、サイバー犯罪者は AI を使って他人が書くメールや文章をまねしたり、他人の声になりすましたりすることさえできる可能性があります。 AI は写真やビデオなどのビジュアルコンテンツを生成して、ターゲットが信頼する誰かになりすますこともできます。 見覚えのあるプロフィール写真や投稿された動画を見て、自分の個人情報や金銭を知人に送ろうとしていると思い込んでしまう人がいるかもしれません。 しかし、サイバー犯罪者は AI を利用してディープフェイクを作成しているのです – 詳しくは以下をご覧ください。
AI を使ったフィッシング攻撃の例
AI を使ったフィッシング攻撃はますます増えており、それには注意すべき主なタイプがあります。 AI を使ったフィッシング攻撃の例をいくつか見てみましょう。
AI が生成したフィッシングメールとテキスト
AI がフィッシング攻撃に利用できる便利なツールになる前は、フィッシングメッセージには通常、スペルや文法に様々な問題が含まれていたため、受け取った人はそうしたメールやテキストを簡単に見破ることができました。 例えば、ほとんどのフィッシングメールにはメッセージを書いた人がその言語を話せないかのように明らかなスペルミスやぎこちない言い回しがありました。 しかし、AI が生成したフィッシングメールやテキストではこうした明確なエラーが排除されているため、より見破られにくくなっているのです。
例えば、サイバー犯罪者は AI が生成したフィッシングメールを、ターゲットとなる大企業の従業員に送ることができます。 その従業員は、フィッシングメールに明らかなスペルミスや文法的な問題が含まれている場合には、それらを検知できるようにトレーニングを受けているかもしれません。 しかし、フィッシングメールに十分な説得力があり、サイバー犯罪者が従業員の上司になりすましている場合、従業員にとってそれが正当なメッセージに見えてしまい、機密情報をメールで知らせてしまう可能性があります。
AI を使ったビッシング攻撃
ビッシングは電話を使ったフィッシング攻撃の一種で、AI ツールによって危険性が高まっています。 典型的なビッシング攻撃では、サイバー犯罪者はターゲットとなる企業や個人になりすまして金銭や情報を受け取ろうとします。 しかし、AI を利用したビッシング攻撃では、サイバー犯罪者は動画や音声記録から聞き覚えのある声を分析して、ターゲットが知っている人のふりをすることができます。 AI がこうした声を処理することで、サイバー犯罪者は自分の声でなく、まるでターゲットの親戚や友人や上司であるかのように話すことができるのです。 AI がこのように利用されることで、ターゲットが電話の相手の声を特定の人のものだと認識すると、ビッシング攻撃はより効果的になります。
最近では、巧妙になった振り込め詐欺においてこの手法が見られます。サイバー犯罪者がソーシャルメディアから、ターゲットの大切な人の動画や音声をダウンロードするのです。 サイバー犯罪者は AI を使ってターゲットの大切な人の声になりすまし、家族が危険にさらされていると告げて高齢者をだまします。
AI を使ったスピアフィッシング攻撃
スピアフィッシング攻撃は、サイバー犯罪者が特定の個人または組織を標的にして、名前、メールアドレス、電話番号などの事前情報を利用して行われます。 これは、従来のフィッシング攻撃と似ているように思えるかもしれませんが、スピアフィッシングはよりパーソナライズされた標的型サイバー攻撃であり、ターゲットがメッセージをフィッシング攻撃の一部であると認識することは困難です。 サイバー犯罪者は、AI を使ってターゲットに関する情報を収集し、そうした情報に基づいて ChatGPT のような生成 AI ツールを利用してメールやテキストを書いています。
例えば、サイバー犯罪者が大手金融会社でインターンをしている学生をターゲットにしたとしましょう。 サイバー犯罪者は時間を節約するために、AI を使ってターゲットのソーシャルメディアやその他の公開記録を分析します。 AI がターゲットとその組織における役割について十分な情報を収集したら、サイバー犯罪者はその情報を生成 AI ツールに入力し、ターゲットの同僚や上司を装ったパーソナライズされたメールを書いて、相手に機密情報を教えるように説得することができます。
AI が生成するディープフェイク
ディープフェイクが登場してかなり時間が経ちますが、AI 技術の進歩により発見が難しくなっています。 ディープフェイクとは、写真、音声記録、動画などのメディアの形態で、登場する人物の一部を改変して別人のように見せかけるものです。 例えば、最近のソーシャルメディア上のディープフェイクでは、有名人が他の有名人や一般の人と不適切な行為をしている描写がありますが、実際にはそのような行為は行われていません。 こうしたディープフェイクは脅迫や偽情報などのように、悪意を持って使われることが少なくありません。 AI が生成するディープフェイクが非常にリアルになりつつあるため、法執行機関でさえも画像や動画が偽物かどうかを識別するのが困難になっています。 こうしたディープフェイクがいかにも本物に見えるようになっているため、サイバー犯罪者は AI を使ってさまざまなフィッシング攻撃を行っています。これは、多くの人が自分が目にしたものを本物だと信じてしまうからです。
AI を使ったフィッシング攻撃から身を守る方法
AI を利用したフィッシング攻撃が頻発し、有害性も増してきていますが、こうした高度なサイバー攻撃から身を守る方法は依然としてあります。
迷惑リンクや添付ファイルをクリックしない
個人情報やデバイスを安全に保つため、迷惑メールのリンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。 迷惑メールやテキストを受信し、リンクをクリックしてアカウント情報を確認するように促された場合、それはおそらく詐欺です。 不用意にリンクをクリックした場合、あなたの個人データを盗む可能性のあるマルウェアがデバイスにインストールされる危険性があります。 リンクが安全かどうかは、URL の上にカーソルを合わせるか、Google Transparency Report のような URL チェッカーにリンクを安全にコピー&ペーストすることで確認することができます。
添付ファイルつきの迷惑メールも同じです。デバイスにダウンロードしないでください。 例えば、迷惑メールに PDF やスプレッドシートが含まれており、開くように促された場合、マルウェアが含まれている可能性が高いためクリックしないでください。 迷惑メールの添付ファイルをクリックしたりダウンロードしたりすると、マルウェアに感染し、あなたの個人情報がサイバー犯罪者に送信されて漏洩する危険性が高まります。 添付ファイルが安全かどうかは、ウイルス対策ソフトを使ったり、送信者が正当な個人や組織かどうかを再度確認したり、メールプロバイダーからスパムとしてマークされたメッセージは無視したりするなどの方法で判断するようにしてください。
不審な個人情報の要求には応じない
個人情報を提供するように要求するメール、テキスト、または電話による不審な要求はすべて無視してください。 聞き覚えのある人物や会社を名乗る知らない番号から電話がかかってきた場合は、応答する前に、なぜ突然個人情報を尋ねるような電話をかけてきたのかをよく考えるようにしてください。 以下は、不審な要求に応じて教えるかどうかを注意して判断すべき一般的な種類の個人情報です。
- クレジットカード情報
- ユーザー名とパスワード
- 銀行口座番号
- 医療保険に関する情報
- 社会保障番号
- 会社の営業秘密
うますぎる話には注意する
サイバー犯罪者が AI を使ってリサーチを行うことで、ターゲットの興味や関心を把握しやすくなります。 うますぎる話を信用しないでください。特に、その情報があなたが欲しいと思っていたものであればなおさらです。 例えば、お気に入りの化粧品の永久利用権が当たったというメールやテキストを受け取った場合、これは危険なものをクリックさせたり、個人情報を提供させたりするための手口である可能性が高いため、注意が必要です。
家族との間で合言葉をつくる
合言葉や家族だけが分かる暗号など、相手が不審な人物であるかどうかを確認する手段があるとよいでしょう。 例えば、誰かがあなたや家族に電話をかけてきて、知っている人物だと名乗った場合、相手に合言葉を尋ねるようにしてください。 相手が合言葉を間違えた場合、その電話がフィッシング攻撃の一部であることが分かります。 合言葉は、サイバー犯罪者や AI がオンラインであなたや家族について調べることで推測できないものにしてください。 一意の合言葉を使うことで、あなたと家族が AI を使ったフィッシング攻撃に巻き込まれるのを防ぐことができます。
パスワードマネージャーを使用する
AI を利用したフィッシング攻撃から身を守る最善の方法の 1 つは、Keeper のようなパスワードマネージャーを使用することです。 パスワードマネージャーは、パスワードを安全な場所に保存します。自動入力機能を備えている場合は、フィッシング攻撃から情報を保護します。 Keeper パスワードマネージャーの機能であるKeeperFillは、デジタルボルトに保存されたウェブサイトが閲覧しているウェブサイトと一致する場合にのみ、ログイン認証情報を入力します。
サイバーセキュリティに関する最新ニュースをお届けします
AI は進化を続け、サイバー攻撃も時々刻々と変化しているため、サイバーセキュリティに関する最新のニュースや出来事を常に把握しておくことが重要です。 最新のデータ漏洩、詐欺のトレンド、そして新たなサイバー脅威を取り上げるブログや記事が毎日多数発表されています。 常に最新の情報を把握するための簡単な方法は、Dark Reading、SecurityWeek、Keeper Security Blog などのサイバーセキュリティ関連のブログやウェブサイトをフォローすることです。
AI を利用したフィッシング攻撃の被害にあわないようにする
どのような種類のフィッシング攻撃も、サイバー犯罪者に個人情報や金銭を盗まれる可能性がありますが、AI を使ったフィッシング攻撃は急速に進化しており、より危険なものになっています。 不審なリンクや添付ファイルを避け、不審な要求に応じて個人情報を提供せず、合言葉を用意し、パスワードマネージャーを使用することで、自分自身とプライバシーを守りましょう。
今すぐ Keeper パスワードマネージャーの 30 日間無料トライアルを開始して、サイバー犯罪者からパスワードとオンラインアカウントを保護しましょう。
