最新のEDRを導入し、VPNを固め、ゼロトラストを構築した。それでも、一本の電話で全てが崩壊するとしたらどうでしょう? 脆弱性から守るための情報セキュリティの保護技術は様々な攻撃にさらされることによって日々進化していますが、そんな時代だからこそ、技術的な脆弱性ではなく、より普遍的な「人の心」の弱さにフォーカスする形の攻撃が改めて注目されています。
ソーシャルエンジニアリングは、技術的な防御を回避し、「人」を標的にする点で普遍的な脅威ですが、AI技術の進化により、その手口はかつてないほど巧妙化・大規模化しています。
一つ目が、ディープフェイクによる声と映像の詐称です。 AIを利用して、組織の役員や取引先の担当者などの「声」や「映像」を完全に再現して、緊急の秘密の送信を指示する……といった手口です。最近、無言電話をかけて「もしもし?」などという応答を得て、そこから偽音声を作るという手法が海外で普及しつつあるということがSNSで話題になっていました。こういった手口と、昨今はやりの「社長を偽ってLINEグループを作らせるメール」を組み合わせると、騙されてしまう人も増えそうです。
また、SNSや企業のリリースなどの公開情報を大量に収集し、AIに与えることで、個人を狙い撃ちしたフィッシング(スピアフィッシング)が可能になります。この人はこういった人とつながりがありよく会話しているとか、こういうことに個人的興味関心が高いとか、最近こういう案件にかかわっているとか、口癖や文体はこうだとか、そういった情報をAIによる解析によって得て、それを基にフィッシングを行うという方法です。公開情報であっても大量に組み合わせることで、確からしさを大幅に増すことができます。
古典的なフィッシングであっても、AIを活用することで成功率を上げられます。例えばサイトの偽物を作るのにAIを使うことができます。
「有資格者や高度な知識を持つ人」を模倣することもAIならばできてしまいます。専門用語や知識をちりばめた会話であってもAIであれば十分に素早く応答できてしまうので、「何やら難しいことを言っているのでこの人は本物に違いない」という、専門家に知識を担保してしまう人間の弱さを突いた攻撃が可能になります。
こういった攻撃は、人間の「自分は大丈夫」といった正常性バイアスや権威に対する服従といった心理を突いて行われるので、わかっているのに騙される、ということになりがちです。
これらの攻撃の一部は、技術で守ることができるものもあります。例えばフィッシングであればパスワードマネージャやパスキーは有効な防御手段の一つです。パスワードマネージャはパスワードとドメインを紐づけ、正しいドメインでなければパスワードを自動入力しないですし、パスキーも鍵情報とドメインを紐づけるため、ドメインが異なるフィッシングサイトに気づくことができます。
また「何かあったら他の人に確認する」という透明性がある文化も重要です。高額な取引を「秘密だから」と言われて単独で行ってしまうのは、「この人ならそういう指示をしかねない」という考えがあるからです。秘密!といわれたらそれ自体がおかしい、他人に相談しよう、そう思える心理的安全性が存在する組織であれば、個々の人が詐欺にかかる可能性も減るでしょう。
セキュリティ教育についても、スライドや動画といった受け身なEラーニングではなく、メール訓練などといった疑似攻撃体験を併用するなどすればぐっと効果が高まります。
セキュリティといえばついつい技術のことに気持ちが向きがちです。でも、一番脆弱なのは人なのです。その「人」を守るためのものが文化であり、「リスクマネジメント」といった考え方になります。「二者確認ルール」の徹底や報告報奨制度の導入などで、「こまめに確認する」ことをよいこととする文化を醸成しましょう。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
