Malwarebytesは12月26日(米国時間)、「How to recognize AI-generated phishing mails|Malwarebytes」において、人工知能(AI: Artificial Intelligence)が生成したフィッシングメールの見分け方を伝えた。
従来のフィッシングメールの見分け方
フィッシングメールは主に特定、または不特定多数のユーザーに悪意のあるファイルを開かせたり、フィッシングサイトへ誘導するリンクにアクセスさせたりする目的で送付される。ほとんどのフィッシングメールは不審点が見られるため成功率は比較的低く、2021年のフィッシングキャンペーンの平均アクセス率は17.8%程度とされる。
しかしながら、近年は生成AIの普及に伴い、自然なフィッシングメールを作成できるようになったため、フィッシングメールの成功率の向上が懸念されている。Malwarebytesによると、従来のフィッシングメールは次のような手がかりから発見できたという。
- 個人情報の更新/入力を求める
- メールに記載されているURLと、URLをマウスオーバしたときに表示されるURLが異なる
- 差出人のアドレスが正規のアドレスに似せた別のアドレス
- フォーマットやデザインが通常と異なる
- 不自然な言葉遣いや誤字脱字が見られる
- 緊迫感のある内容で、すぐに行動することを求める
- 予期しない添付ファイルが含まれている
これら手がかりのうち、「不自然な言葉遣いや誤字脱字が見られる」点については、生成AIにより解決可能になった。故意に要求しない限り、大規模言語モデル(LLM: Large Language Model)は文法上の誤りや誤字脱字を出力することはないとされる。また、攻撃者の母国語以外の標的に対しても自然な文章を生成することが可能なため、言葉の壁を超えて攻撃できる可能性がある。
AIが作成したフィッシングメールの見分け方
Malwarebytesによると、AIを活用することでフィッシングメールの作成に必要な作業量が大幅に短縮できるという。実際にフィッシングメールの総数は増加しており、2022年第4四半期と比較して悪質なフィッシングメールは1,265%増加、クレデンシャルフィッシングは967%増加したとされる。また、AIにより作成されたフィッシングメールは検出が難しく、電子メールセキュリティプロバイダーのEgressは、生成AIで作成されたフィッシングメールの71%は検出できないとレポート「2023 Phishing Threat Trends Report」にて報じている。
このような検出困難なAIで作成されたフィッシングメールを見分ける方法として、Malwarebytesは以下を提示している。
- AIを使用してもフォーマットやデザインはブランド特有のものと同じにはならない。ブランドの特徴を普段から把握しておき、異なる雰囲気のメールを受信した場合はフィッシングメールの可能性がある
- AIを使用しても送付先の顧客の氏名を記載することはできない。そのため、「お客様」や「お客様各位」など不特定多数に向けた表現が使われる。また、送信者の署名が通常と異なるなど名称に不審点が含まれることがあるため、これらを判断材料にすることができる
- メールに添付ファイルが含まれており、内容が信用できない場合は別の連絡方法で送信者に問い合わせる
Malwarebytesは、企業の電子メールシステムの管理者に対し、従業員からのフィッシングメールの報告は積極的にフォローアップすることが重要として推奨している。フォローアップを怠るとフィッシングメールを報告しなくなる可能性があるため、結果的にリスクの増加につながる。このような攻撃からシステムと従業員を保護するために、管理者には適切な従業員のフォローアップとトレーニング、人工知能を搭載した高度なセキュリティソリューションの導入が望まれている。