Hoxhuntのリサーチャーによると、成功率の高いフィッシングキャンペーンの作成において、AIは人を上回る性能を発揮し始めています。
Hoxhuntは次のように説明しています。「この調査結果は、脅威ランドスケープにおける大きな分岐点となります。ソーシャルエンジニアリングにおいて、AIが人より優位になったことで、サイバーセキュリティにおけるリスク、攻撃、防御のあり方が根本から変わっていきます。さらに、AIの大規模言語モデルの進化は、ソーシャルエンジニアリングの手法とサイバーセキュリティトレーニングの分野を同時に大きく変えています。攻撃と防御が両方進化している理解して、サイバー犯罪者が利用する生成AIの脅威への対策を見直す必要があります。」
現在、このような高度なAIを活用した攻撃は、標的を絞ったスピアフィッシングに限定されています。しかし、近い未来には、一般的なフィッシングキットにも高度な機能が取り込まれる可能性があります。
Hoxhuntは次のように述べています。「AIエージェントがフィッシングの手法を一変させるのは、もはや時間の問題です。現時点では、標的を絞った、巧妙なAIスピアフィッシング攻撃についての報道が散見されています。いままでは、このような攻撃は限られていましたが、間もなく、phishing-as-a-serviceの市場は、AIスピアフィッシングエージェントの採用に注力すると予想されます。そうなれば、従来はスピアフィッシングにしか見られなかったような精度と効果が、通常のフィッシングキャンペーンの標準になる可能性があります。」
全ての組織は、スキルのないサイバー犯罪者がこうした高度なAI機能を利用できるようになる時代に備える必要があります。
リサーチャーは次のように警戒を呼びかけています。「破壊とは、はじめは徐々に起こり、突然大きく崩れることです。これはクレイトン・クリステンセンのお言葉を借りたものですが、まさにその通りです。phishing-as-a-service市場における大きな転換が避けられない中、AIによるフィッシング攻撃はますます効果的になり、導入も容易になり、結果として犯罪者にとってはより効率的な手段となっていくのです。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Hoxhuntの記事を参照してください。
原典:Stu Sjouwerman著 2025年4月16日発信 https://blog.knowbe4.com/ai-powered-spear-phishing-can-now-outperform-human-attackers