サイバー攻撃者がAIツールを利用して、さらに巧妙で疑われないようなソーシャルエンジニアリング攻撃を実行するケースが増加すると、サイバーセキュリティの専門家が予想していることを、The Messenger社のEric Geller氏が伝えています。
「AIの最も大きな長所の1つは、文法的にミスがなく理路整然とした英文を作成できることです。」とGeller氏は述べています。
「多くのハッカーは英語を母国語としていないため、ハッカーが書いたメッセージには奇妙な言い回しや文法的な間違いがあり、句読点の使用にも不自然な点が多くあります。これらのミスによりメッセージが詐欺であることを容易に気づかれてしまいます。ハッカーがChatGPTのような生成AIプラットフォームを使用すれば、アメリカ人が見ればすぐにわかるような初歩的な間違いなどない完璧な英文のメッセージを簡単に作ることができます。」
AIは、ソーシャルエンジニアリング攻撃だけではなく、マルウェアの作成やサイバー攻撃の計画にも悪用できます。
「ChatGPTのようなプログラムはすでに、ウィリアム・シェイクスピアやドナルド・トランプなど、特徴的な言葉や文章が広く記録されている著名人であれば、その人物によって作成されたかのようなスピーチを生成できます。記者発表やソーシャルメディアへの投稿など、十分な学習素材として提供されている場合、AIプログラムはこれらを学習し、企業の幹部や政治家、あるいはその子供や配偶者まで真似ることができます。また、AIは企業の組織図を分析することもできます。分析により、詐欺を常に警戒するほど熟練していない秘書などを特定し、ハッカーによる攻撃の計画を支援することさえ可能です。」
AIが悪意のある目的で利用される全ての手法を予測するのは現時点では困難ですが、今後数年間で(攻撃手法の一つである)ソーシャルエンジニアリングは、その戦術が進化することを想定しておかなければなりません。
Geller氏は、次のように結論付けています。「AIの進化がフィッシングに及ぼす影響を正確に予測することは困難です。サイバー犯罪者がAIの高度な分析機能をありふれた詐欺に利用する可能性は低いですが、高い技術力を持つ犯罪組織は、大規模なランサムウェア攻撃に、これらのAIツールの機能の一部を利用する可能性があります。政府の支援を受けているハッキング組織は、万全な防御体制を敷いている標的の重要な情報を収集するために、間違いなくこれらのAIの能力を採用するでしょう。そして、AIをサイバー攻撃に利用することが容易になるほど、攻撃者がこれまで想像もしなかったようなAIの使用方法を思い付く可能性が高くなります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
The Messengerのこの記事の全文はこちらから参照してください。
原典:Stu Sjouwerman著 2023年11月2日発信 https://blog.knowbe4.com/how-ai-lends-phishing-plausibility
