LLM(大規模言語モデル)ベースのAIツールは日々進化しており、フィッシングはさらに巧妙になっていくと考えられる。しかし、こうしたフィッシングメールを見分けるのは容易ではない。そのため、一人ひとりがその特徴を把握し、セキュリティ意識を向上させ続けることが今まで以上に重要になる。今回は、悪意あるAIから組織を守るための対策を紹介する。
今後の生成AIとフィッシング
LLMベースの生成AI(以下、生成AI)サービスは日々進化しており、展開も目覚ましい。Webブラウザをはじめとする多様なアプリに搭載され、OSにさえ統合されている。学習データはさらに増え、目的に特化した生成AIも登場し始めている。手軽に高度なオリジナルコンテンツを作成できるようになり、さまざまなモノの価値が変わる可能性もある。
当然、サイバー犯罪者も生成AIを悪用すると考えられる。フィッシングに限定しても、例えば翻訳機能を活用すればどのような言語でもフィッシングメールを作成し、送信することが可能だ。すでに現在のフィッシングメールに使われる日本語に違和感はない。
また、標的型のフィッシングメール、スピアフィッシングも巧妙なものが増加すると考えられる。大量のビジネスメールを学習させるとともに、生成AIを使った検索エンジンを用いることで、実在の企業や個人になりすましたフィッシングメールが届く可能性がある。サイバー犯罪者は、これまでのフィッシングや「Emotet」などのマルウェアで得た膨大なメールデータを持っているため、これを生かさないということはないだろう。
さらに、フィッシングが行われるエリアも拡大すると考えられる。すでにスマートフォンなどのSMS(Short Message Service)を使ったフィッシング(スミッシング)も増えているが、これが一層増加する可能性がある。SMSは送信元やリンク先の確認が難しいため、引っかかってしまいやすい。
同様に、SNS(Social Networking Service)でのフィッシングも増加するだろう。SNSにはアカウント連携機能があるため、これを許可してしまうと連携したアプリの情報を盗まれたり、攻撃の踏み台にされたりする恐れがある。この他にも、Webブラウザ上で表示される「偽警告画面」も巧妙化するだろう。メッセンジャーサービスやチャットサービスにも拡大する可能性もある。
フィッシングの検知の難しさ
現在、すでに猛威をふるっているフィッシングだが、対策が困難な理由は検知の難しさにある。一般的なセキュリティ対策ソフトは、主に添付ファイルに注目する。このため、添付ファイルを持たないフィッシングメールは正規のメールと判断してしまう。文面にあるリンク先をフィルタリングにより検知する方法もあるが、サイバー犯罪者は何度もリダイレクトを繰り返し、短いサイクルでURLを変更するため追跡が困難な状況になっている。
件名や内容からフィッシングを特定することも困難である。前述のようにサイバー犯罪者は生成AIによって不自然さのないメールを送ってくるため、よほど注意しないと内容を信じてリンク先でログイン情報を入力してしまう。また、そもそもメールは送信者欄(ヘッダーfromと呼ばれる)の偽装が可能である。また、リンク先のURLを正規のものを少しだけ変更することで誤認識させようとする。
具体的には、「O」(アルファベットのオー)を「0」(数字のゼロ)に置き換えたり、「r」と「n」を並べることで「m」に見せかけたりする。これを瞬時に見破ることは難しい。さらに最近では、QRコードを悪用するフィッシングも増えた。QRコードは単なる画像であるが、スマートフォンのカメラにかざすことでリンクが表示される。メールの本文にリンクを入れる必要がないため、リンクに反応する対策を回避できる。
最近では、フィッシングメール対策として送信ドメイン認証技術である「DMARC」が注目されている。例えば、GmailがDRAMCに対応していないメールを段階的に破棄するようガイドラインを変更したり、日本政府や各業界でのガイドラインでもDMARCが推奨されたりしている。
しかし、DMARCはただ導入するだけでなく、そのポリシーを厳しくする必要がある。また、ヘッダーfromの偽装しか見破ることができない。現在は、DMARCの次の段階としてメールソフトに企業などのロゴを表示する「BIMI」も登場しており、視覚的な判断が可能なことから期待されている。
企業がとるべきフィッシング対策とは
一般的なセキュリティ対策ではフィッシングを防御できない以上、従業員へのトレーニングが重要な対策となる。サイバーセキュリティに強い組織を構築するには、ITに精通していない従業員も含め、組織のメンバーの一人ひとりが「礼儀正しく、疑い深い」マインドセットを持つようトレーニングすることが大切だ。
普通ではない要求を疑うことを当たり前のことと認識して、リスクの状況を理解し、直感を磨き続ける必要がある。企業で働くほとんどの人は、サイバーリスクやITに精通しているわけではないし、そのようなスキルのために雇われたわけでもない。しかし、個人の生活でも職場の生活でも、現代のデジタル社会でITがどのように機能するか、誰もが基本的な理解を持つ必要がある。
これは、メールを含むデジタルプロセスによってもたらされるビジネスリスクも把握しておく必要があることを意味する。まず「普通」の状態を理解し、「普通ではない」ことに気づけるようにする。これにより、リンクをクリックしたり、送金したり、多要素認証を承認したりする前に、十分な疑いを持つことができるようになる。
そのためにはトレーニングが重要であるが、例えば年に一度の2時間の講習は従業員にとって苦痛でしかないと記憶されるだろう。効果的なトレーニングはシンプルかつ継続的で、興味深いものであるべきだ。また、即座に適用可能で、楽しいトレーニング・モジュールと、ユーザーをテストするための模擬フィッシング攻撃から構成されるべきであり、もしユーザーがフィッシングメールをクリックした場合は、追加トレーニングを行うべきである。
トレーニングには当然ながら、経営層も参加すべきである。経営層が基本を理解し、安全なプロセスを理解し伝えれば、従業員もそれにならう。そして、トレーニングには、負荷の少ない形でセキュリティ意識を向上できるサービスを活用すべきといえる。
結論
AI時代のサイバーセキュリティの脅威に対処するには、多面的なアプローチが必要不可欠となる。サイバー犯罪者はAIツールを活用し、従業員に悪意のあるリンクをクリックさせたり、機密情報を開示させたりする巧妙なフィッシング攻撃を仕掛けている。
セキュリティ・ソリューションの導入は極めて重要であるが、それだけでは不十分であることを認識すべきである。リスクを理解し、サイバー脅威に強い企業文化を構築するためには、全従業員を巻き込み、フィッシング・シミュレーションや定期的なトレーニングを組み合わせて、組織のセキュリティ体制を真に向上させることが必要である。
著者プロフィール
伊藤 利昭(イトウ トシアキ) Vade Japan株式会社 カントリーマネージャー
2020年1月に就任。責任者として、日本国内におけるVadeのビジネスを推進する。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と新たに企業向けのメールセキュリティを展開するに当たり、日本国内のパートナーネットワークの構築に注力している。