「ChatGPT」といった生成AI(人工知能)ツールによってフィッシングメールが進化している。エンドユーザーも腕を磨き上げて、攻撃者のわなにはまらないようにするには。
「文法が間違っている」「表現があまり自然ではない」――。一見して、これは詐欺だと分かるフィッシングメールはもう古い。近年、人工知能(AI)技術を使って正しい文法や自然な表現のメールが作成できるようになったことで、フィッシングメールが見破りにくくなっている。AI技術を用いて事実とは異なる映像や音声、写真を合成する「ディープフェイク」も広がりつつある。高度なフィッシング攻撃に対抗する上で有効な技術やシステム運用方法とは何か。その要点をまとめた。
フィッシングとは、人の心理を巧みに操って意図通りの行動をさせる詐欺手法「ソーシャルエンジニアリング」によって、標的に不正送金をさせたり、システムの認証情報を聞いたりする攻撃だ。フィッシングはもともと、不特定多数の人に送信する手口から始まり、標的を絞って個別にカスタマイズされた攻撃へと進化してきた。その手法としては、“定番”のメールに加え、以下の新たな手法も登場している。
最近は攻撃者がAI技術を悪用することで、フィッシングの手口がいっそう巧妙化している。文法を誤ることなく複数言語でメールを作成することはもちろん、パターン認識によって標的の特徴や弱点を分析し、それに合ったフィッシングメールを作ることも可能だ。ディープフェイクを使えば、視覚的な信頼性を高めて標的をだませる。
AI技術によって、かつては重要な手掛かりだった「違和感」が無力化されつつあるのが現状だ。訓練を受け、セキュリティ意識が高いエンドユーザーでも、AI技術を駆使したフィッシング攻撃に気付かない可能性がある。フィッシング攻撃によってシステムの認証情報が流出すれば、ランサムウェア(身代金要求型マルウェア)攻撃などにつながる恐れがある。
フィッシング攻撃に対抗するための技術の一つが、MFA(多要素認証)だ。しかしMFAも万全な対策ではない。近年は、MFAの通知を連続でエンドユーザーに送って疲弊させ、誤って承認させる手口「MFA疲れ」が広がっている。正規Webサイトとエンドユーザーの間に割り込む「中間者攻撃」(「MITM」や「AITM」とも)は、エンドユーザーの認証情報をリアルタイムで窃取することを可能にする。
では、組織はどのような対策を講じればいいのか。以下で、フィッシング攻撃のリスクを減らすためのポイントを見てみよう。
フィッシング攻撃は、完全に防ぐことは難しい。以下で、認証情報が流出した場合でも、攻撃者の侵入による被害を抑えるための技術やツールを紹介する。
AI時代のフィッシング攻撃は、単一の対策で防ぐことは難しい。先進技術、ユーザーの訓練、強固なセキュリティポリシーを組み合わせた総合的アプローチが不可欠だ。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
