ChatGPTをはじめとする人工知能アプリが話題となっている中、サイバー犯罪者はすでにAIを駆使してフィッシングメールを作成し始めています。セキュリティトレーニング企業Hoxhuntが水曜日に発表した最新レポートによると、現時点では人間のサイバー犯罪者の方がフィッシング攻撃の成功率では依然として優れていますが、その差は縮まりつつあります。
ChatGPTと人間が作成したフィッシングキャンペーン
Hoxhunt は、ChatGPT によって生成されたフィッシング キャンペーンと人間によって作成されたフィッシング キャンペーンを比較し、どちらが疑いを持たない被害者を騙す可能性が高いかを判断しました。
この実験を行うため、同社は100カ国53,127人のユーザーに、人間のソーシャルエンジニアまたはChatGPTによって作成されたフィッシングシミュレーションを送信しました。ユーザーは、通常のメールと同じように、受信トレイでフィッシングシミュレーションを受け取りました。このテストは、以下の3つの可能な反応を引き起こすように設定されました。
- 成功:ユーザーは、Hoxhunt 脅威報告ボタンを使用して、フィッシング シミュレーションを悪意のあるものとして報告しました。
- 失敗:ユーザーはフィッシングシミュレーションを操作しません。
- 失敗:ユーザーは餌に食いつき、電子メール内の悪意のあるリンクをクリックします。
Hoxhuntが主導したフィッシングシミュレーションの結果
最終的に、人間が作成したフィッシングメールは、ChatGPTが作成したメールよりも多くの被害者を捕まえました。具体的には、人間が作成したメッセージに騙されたユーザーは4.2%だったのに対し、AIが作成したメッセージに騙されたユーザーは2.9%でした。つまり、人間のソーシャルエンジニアはChatGPTを約69%上回ったことになります。
この調査から得られた肯定的な結果の一つは、セキュリティトレーニングがフィッシング攻撃の阻止に効果的であることが証明されたことです。セキュリティ意識の高いユーザーは、人間が作成したものであれAIが作成したものであれ、フィッシングメールに反応してしまう誘惑に抵抗する可能性がはるかに高くなりました。メッセージ内の悪意のあるリンクをクリックする人の割合は、トレーニングの少ないユーザーでは14%以上でしたが、トレーニングの多いユーザーでは2%から4%に減少しました。
参照:セキュリティ意識向上とトレーニングポリシー(TechRepublic Premium)
結果は国によっても異なりました。
- 米国:調査対象ユーザーの 5.9% が人間が作成した電子メールに騙され、4.5% が AI が作成したメッセージに騙されました。
- ドイツ: 2.3% は人間に騙され、1.9% は AI に騙されました。
- スウェーデン: 6.1% が人間に騙され、4.1% が AI に騙された。
現在のサイバーセキュリティ防御はAIフィッシング攻撃をカバーできる
人間が作成したフィッシングメールはAIが作成したものよりも説得力がありましたが、この結果は流動的であり、特にChatGPTやその他のAIモデルの進化に伴い、その傾向は顕著です。このテスト自体はChatGPT 4のリリース前に実施されましたが、ChatGPT 4は前バージョンよりも高度な機能を備えていると期待されています。AIツールは確実に進化し、サイバー犯罪者が悪意ある目的でAIツールを利用することで、組織にとってより大きな脅威となるでしょう。
プラス面としては、フィッシング メールやその他の脅威から組織を保護するには、攻撃が人間によって作成されたか AI によって作成されたかに関係なく、同じ防御と調整が必要です。
「ChatGPTは、犯罪者が完璧な文法で書かれたフィッシングキャンペーンを大規模に展開することを可能にします。これにより、フィッシング攻撃の重要な指標である文法の誤りは排除されますが、他の指標は訓練された目で容易に観察できます」と、HoxhuntのCEO兼共同創設者であるミカ・アアルト氏は述べています。「包括的なサイバーセキュリティ戦略においては、従業員とそのメール行動に重点を置く必要があります。なぜなら、まさにそれが、私たちの敵対者が新しいAIツールを使って行っていることだからです。」
「人間による脅威検出が習慣になるまで、ユーザーが疑わしいメッセージを見つけられるように継続的なトレーニングを実施し、脅威を報告したユーザーに報酬を与えることで、組織全体でセキュリティを共有責任として組み込みます。」
セキュリティのヒントまたはITとユーザー
そのために、アアルトは次のヒントを提供しています。
ITとセキュリティ
- 機密データにアクセスするすべての従業員に対して、2 要素認証または多要素認証を要求します。
- すべての従業員に、疑わしい電子メールを報告するスキルと自信を与えてください。このようなプロセスはシームレスである必要があります。
- 従業員からの脅威レポートを分析し、対処するために必要なリソースをセキュリティ チームに提供します。
ユーザー向け
- メール内のリンクをクリックする前に、マウスオーバーしてください。リンクが場違いに見えたり、メッセージと関係がない場合は、ITサポートまたはヘルプデスクチームに不審なメールとして報告してください。
- 送信者欄をよく確認し、メールアドレスに正当なビジネスドメインが含まれていることを確認してください。Gmail、Hotmail、その他の無料サービスを指している場合は、フィッシングメールである可能性があります。
- 疑わしいメールについては、対応する前に送信者に確認してください。メール以外の方法で送信者に連絡し、メッセージについて問い合わせてください。
- クリックする前によく考えてください。ソーシャルエンジニアリングを駆使したフィッシング攻撃は、受信者に偽りの緊急感を与え、できるだけ早くリンクをクリックしたりメッセージに反応したりするよう仕向けます。
- メールのトーンや口調に注意してください。現時点では、AIによって生成されたフィッシングメールは、形式ばった堅苦しい書き方になっています。
次に読む:サイバーセキュリティの刃として、ChatGPTは両刃の剣である(TechRepublic)
