今、ジェネレーティブAI(日本語では生成AIと呼ばれる)が、大きな話題となっています。このAIは、現実的な全く新しいオリジナルのアウトプットを生み出してくれます。例えば、全く新しいデジタルの画像や動画、オーディオ(音声/音楽など)、文章やコードなどを自動的に作り出します。この代表格が、「ChatGPT」です。ジェネレーティブAIは、光と影を生み出しています。
AIを利用したサイバーセキュリティソリューションを提供する、英国ケンブリッジと米国カリフォルニア州サンフランシスコに本社を置くDarktrace社が、同社の最新レポートで、このジェネレーティブAIによる新しいソーシャルエンジニアリング攻撃が135%増加したこと報告しています。
この増加の原因となっている新しいソーシャルエンジニアリングの手法について、Darktrace社が次のように解説しています。この言語学的に洗練されたソーシャルエンジニアリングの特徴は、テキスト量が多いにもかかわらず、句読点を適切に使用しながら、読みやすい長文を使用していることです。この手法の言語的な進化が、被害者を騙しています。
また、KnowBe4はChatGPTを使用する詐欺や他の様々なAIを悪用した詐欺を調査していますが、これらの攻撃はこれまでのフィッシングメールとは全く性質を異にしています。ChatGPTの脅威については、https://www.knowbe4.jp/blog/fear-ai-tools-like-chatgpt を参照してください。
Darktrace社のこの最新の調査結果では、ChatGPTの普及によって、2023年1月から2月にかけて、Darktrace/Emailを利用している数千の顧客で「新たなソーシャルエンジニアリング攻撃」が135%増加したことを明らかにしています。
また、調査対象となった従業員の82%が、サイバー犯罪者がジェネレーティブAIを利用して、これまでにはないような本物そっくりのフィッシング詐欺を行うことに懸念を抱いています。Darktrace社のチーフプロダクトオフィサーであるMax Heinemeyer氏は、ジェネレーティブAIによるソーシャルエンジニアリング攻撃の増加に関連して次のようにコメントしています。
「メールの脅威を取り巻く環境は常に進化しています。この30年にわたって、セキュリティチームは、メールに含まれるスペルミス、そして、不審なリンクや添付ファイルを見抜くためのトレーニングを従業員に実施しています。この中、多層防御戦略を継続的に実施することが求められる一方で、このような進化によって、悪意のあるメールの発見を従業員に依存するアプローチの効果が薄れてきています。ここには、誰でも簡単に利用できるこのようなテクノロジーが、信憑性が高く、標的に合わせてパーソナライズされた、言語的にも高度で正確なフィッシングメールを容易に作成することを可能にしていることがあります。この急速な進歩は、悪意のあるメールを見極める人の能力に影を投げかけています。これに対抗するためのテクノロジーは、メールの脅威環境の変化に対応することが不可欠になっています。新しい環境に対応するAIを活用して、組織は武装しなければなりません。」
残念ながら、ソーシャルエンジニアリング攻撃はさらに巧妙になっています。このようなAIによる進化に対抗していくには、悪意のあるメールを見極める人の能力をさらに高めることが不可欠です。KnowBe4が「New School」と呼ぶセキュリティ意識向上トレーニングは、最新のサイバー脅威を学ぶために最新のトレーニングと模擬演習を提供しています。従業員は自社の最後の防衛線であることを決して忘れてはなりません。KnowBe4のセキュリティ意識向上トレーニングについては、https://www.knowbe4.jp/products/kevin-mitnick-security-awareness-training を参照してください。
原典:Stu Sjouwerman著 2023年4月4日発信https://blog.knowbe4.com/generative-ai-social-engineering-attacks
