セキュリティの
学び場

AIを利用した高度なフィッシングの登場の背景

最も一般的なサイバー攻撃の１つはフィッシングです。現在約43億通のフィッシングメールが日々送信されていると言われています。これほど多量のフィッシングメールが送信される背景としては、対象を特定人物に絞るより不特定多数を対象とした方が、成功率はともかくとして、実行が容易であることが挙げられます。100万人のうちほんの数人でも機微情報、例えば送金情報を漏洩させてくれれば、攻撃者は利益を得られます。精度の高い成りすましなどを伴う、特定人物を一本釣りにするタイプの高度なフィッシング（スピアフィッシング、Spear Phishing と言う）を実行する攻撃アクターは限定的です。

生成系AIサービスのChatGPTの登場は世界中に衝撃を与えましたが、サイバーセキュリティ業界、そしてサイバー攻撃を目論む者たちにも例外ではありませんでした。AIにフィッシングを支援させることで、より高度なフィッシングをより広範に実行できる環境を得たのです。

AIに支援させることで何が高度化するのか

AIに支援させることで、”これまでのスピアフィッシングと同等かそれ以上に高度化したフィッシング詐欺を多数に向けて実行できるようになるだろう”という予測がサイバーセキュリティ業界の主流です。本ブログではメールを利用したフィッシングにフォーカスしてどこが高度化するか見ていきます。

大規模データの収集・活用

ChatGPTを代表とする現在公開されている生成系AIサービスは、インターネット上の公開情報をAI自身で大量収集し、学習する仕組みになっています。攻撃者は、データ収集とその分析の手間をかけなくても、ソーシャルエンジニアリングに近い作業を生成系AIサービスがやってくれます。詐欺を行う攻撃者は自身で漏洩させた、あるいはダークウェブなどを通じて得た非公開情報を蓄えていたりもしますので、攻撃者はこうした情報をAIを通じて大量かつ速やかに利用する技術を得たといえます。

リアルなコンテンツ生成と成りすまし精緻化

生成系AIは文章作成の際に、文体なども特徴を設けて作成してくれます。不特定多数向けのフィッシングメールでは、非常に不自然な文章や文脈が散見されますが、AI支援によってそのようなメールは駆逐され、とても自然なコンタクトを図るようになります。前回の記事（一般利用者向けフィッシング対策）では、メール受信者の焦りを引き起こすという一般的な手口を紹介しましたが、そんな必要もなく、自然にメールの遣り取りを行えるようになります。

もし、攻撃者が特定個人のメール文体データを得ることが出来れば、その人物に成りすましたメール作成も支援してくれます。企業のメール文章やメッセージアプリのメッセージ履歴が漏洩した場合は、それらを利用して巧みに上司・同僚を装って自然な仕事上のコンタクトを図ることも可能となります。

フィードバックの効率化

フィッシングメールが高度化すると、例えば、罠サイトのリンクを踏むなどの行動を取る人も増えますが、これはAIにとって、より良い学習結果を出力するためのデータになりえます。PDCAサイクルではありませんが、学習 - 出力 - 実行 - フィードバック - （より良い）出力......というサイクルが効率化するのは間違いないでしょう。

既存対策の回避

前回の記事（一般利用者向けフィッシング対策）で紹介した、メール文の不自然さに注意するという教育・対策は今後は通じにくくなります。セキュリティソリューションを回避する具体的なビジョンは明らかではないですが、多くのセキュリティ専門家はAI支援により、従来のメールフィルタリングなどは回避されるだろうとの見解を持っています。少なくともキーワードをベースとしたフィルタリングはかなりの確度で回避するようになると見込まれます。

攻撃の拡大

上記のような高度化・効率化が可能になると、次に来るのは自動化によって攻撃対象を広げていくことです。その自動化方法もAIが支援してくれます。冒頭で、100万人のうち数人が、ということを述べましたが、100万人にスピアフィッシングが実行される将来像もあり得ます。

AI支援フィッシングへの対策

現状、AI支援のフィッシングがどこまで、どのように高度化し得るのかまだ全貌が見えておりません。その為、その対策も概要レベルに留まりますが、業界で提唱されている対策案をご紹介します。

教育・訓練・習慣付

従来の教育も継続してメールにおける危険信号に対する感覚を鈍化させないようにします（前回の記事も参考にしてみてください）。少しでも引っかかりのある場合は、メールそのや他アプリからのメッセージを信用しない行動習慣を身につけるようにします。たとえ、メッセージが巧妙化しても、送信元のチェックはまだ有効です。コンタクトを図ってきた人物が知人であれば、別経路で確認するという作業も効果があるでしょう。認証を伴うサービスには与えられたリンクではなく、自分で用意したブックマークなどから正規のサービスを利用するなどしましょう。AI支援フィッシング特化した教育・訓練サービスがあればその利用も検討してみても良いかも知れません。

AI支援を組み込んだセキュリティソリューション利用

メールセキュリティソリューションにもAI支援を特徴としたものが出てきています。それらの利用を検討してみましょう。

多要素認証の導入

利用しているサービスやアプリに多要素認証機能がある場合は積極的に利用します。ID/パスワードのような認証情報が漏洩しても、それのみでアカウントの悪用が出来ないようにしておきます。今後は、フィッシングによる各種認証情報の漏洩リスクを前提とした対応が必要になるでしょう。

各種ソフトウェアの更新

OS、ファームウェア、セキュリティソリューションは当然ですが、それ以外にも利用しているアプリケーションなどの定期的なアップデートを欠かさないことが重要です。フィッシングを契機に端末等へ侵入されたとしても悪用できる脆弱性が少なければ被害の拡大を防げます。

上記は主に個人でもできる対応策を記載しました。組織レベルだと、これら以外にも想定する攻撃経路と攻撃目標に応じて、システム構成やネットワークレベルでの対応など様々な対応があるでしょう。このときの重要なポイントは、個人レベルでフィッシングを完璧に防ぐことではありません。高度化したフィッシングが成功したとしても、多層的に防御策が施してあることによって被害を小さくできることを目指すことです。ここはAPTに対する防御と通じる点です。

最後に

本記事ではAIに支援されたメールによるフィッシングについて紹介しましたが、AIのダークサイドはそれに限定されるものではありません。今後も予期しないリスクが惹起することでしょうが、丁寧に多層的な対策を施すことで被害を極力抑える事を心掛けたいものです。