サイバー犯罪者は、ChatGPT などの AI ツールを悪用して、より説得力のあるフィッシング攻撃を仕掛けており、サイバーセキュリティの専門家は警鐘を鳴らしています。
公開: 2023-12-02過去 1 年ほどの間に、疑わしい電子メールが急増していることに気付いた場合、その原因の一部は、お気に入りの AI チャットボットの 1 つである ChatGPT にある可能性があります。 私たちの多くは、ChatGPT を使って親密でプライベートな会話をして自分自身について学んだことがありますが、ChatGPT が詐欺に役立つとは信じたくありません。
サイバーセキュリティ企業 SlashNext によると、ChatGPT とその AI コホートは、加速度的にフィッシングメールを送り出すために使用されています。 このレポートは同社の脅威に関する専門知識に基づいており、北米の300人以上のサイバーセキュリティ専門家を対象に調査を行った。 つまり、2022 年の第 4 四半期以降、悪意のあるフィッシングメールが 1,265% 増加したと言われており、特にクレデンシャル フィッシングは 967% 増加しました。クレデンシャル フィッシングは、ユーザーになりすまして、ユーザー名、ID、パスワード、個人 PIN などの個人情報をターゲットにします。電子メールまたは同様の通信チャネルを通じて、信頼できる個人、グループ、または組織に連絡します。
悪意のある攻撃者は、ChatGPT などの生成型人工知能ツールを使用して、洗練された、具体的にターゲットを絞ったフィッシング メッセージを作成します。 フィッシングと同様に、ビジネス電子メール侵害 (BEC) メッセージも一般的なタイプのサイバー犯罪詐欺であり、企業から金銭を騙し取ることを目的としています。 このレポートは、こうした AI を利用した脅威が猛烈なスピードで増加しており、その量とその巧妙さが急速に増大していると結論付けています。
レポートによると、フィッシング攻撃は 1 日あたり平均 31,000 件あり、調査対象となったサイバーセキュリティ専門家の約半数が BEC 攻撃を受けたと報告しています。 フィッシングに関しては、これらの専門家の 77% がフィッシング攻撃を受けたと報告しています。
専門家が意見をまとめる
SlashNext の CEO、パトリック・ハー氏は、これらの調査結果は「フィッシングの急激な増加に寄与する生成 AI の使用に対する懸念を確固たるものにする」と伝えました。 同氏は、AI生成テクノロジーにより、サイバー犯罪者は攻撃の種類を増やすと同時に、攻撃の実行速度を加速できると詳しく説明しました。 それらは、何千ものバリエーションを持つ何千ものソーシャル エンジニアリング攻撃を生み出す可能性がありますが、騙される必要があるのは 1 つだけです。
Harr 氏は続けて ChatGPT を指摘します。ChatGPT は昨年末にかけて大きな成長を遂げました。 同氏は、生成型 AI ボットのおかげで、初心者がフィッシングや詐欺行為に参加するのがはるかに簡単になり、現在では、より熟練した経験豊富な人々にとっては追加のツールとなり、攻撃をスケールアップしてより標的を絞ることができるようになったと主張しています。簡単に。 これらのツールは、詐欺師が人々をフィッシングすることを期待する、より説得力のある言葉遣いのメッセージを生成するのに役立ちます。
エンタープライズ・マネジメント・アソシエイツのリサーチ・ディレクター、クリス・ステファン氏もCNBCとのインタビューで同様のことを認め、「『ナイジェリアの王子』の時代は終わった」と述べた。 同氏はさらに、電子メールが「非常に説得力があり、正当に聞こえる」ようになったとさらに強調した。 悪質な行為者は、口調やスタイルで他人を説得して模倣したり、なりすましたり、政府機関や金融サービスプロバイダーからのものであるかのような公式のような通信を送信したりすることもあります。 AI ツールを使用して個人や組織の書き込みや公開情報を分析してメッセージをカスタマイズし、電子メールやコミュニケーションを本物のように見せることで、これを以前よりもうまく行うことができます。
さらに、これらの戦略がすでに悪者に利益をもたらしているという証拠があります。 Harr氏はFBIのインターネット犯罪報告書に言及しており、そこではBEC攻撃により企業に約27億ドルの損害が発生し、他の種類のフィッシングによる損失は5,200万ドルに上るとされている。 マザーロードは儲かるため、詐欺師はフィッシングと BEC の取り組みをさらに拡大しようとします。
脅威を打破するには何が必要か
一部の専門家やハイテク大手は反発しており、アマゾン、グーグル、メタ、マイクロソフトはサイバーセキュリティリスクと戦うためのテストを実施すると約束している。 企業はまた、AI を防御的に活用し、検出システムやフィルターなどを改善するために使用しています。 しかし、サイバー犯罪者はすでに ChatGPT などのツールを使用してこれらの攻撃を実行しているため、SlashNext の調査はこれが完全に正当化されることを強調していると Harr 氏は繰り返し述べました。
SlashNext は 7 月に、WormGPT を伴う ChatGPT を使用する特定の BEC を発見しました。 Harr 氏によれば、WormGPT は「GPT モデルに代わるブラックハットであり、BEC 攻撃の作成や開始などの悪意のある活動に特化して設計された」ものとして宣伝されているサイバー犯罪ツールです。 別の悪意のあるチャットボットである FraudGPT も出回っていると報告されています。 Harr 氏によると、FraudGPT は詐欺師、ハッカー、スパマー、および同様の個人向けにカスタマイズされた「専用」ツールとして宣伝されており、広範な機能リストを誇っています。
SlashNext の研究の一環として、AI チャットボットに対する非常に巧妙に設計された攻撃であり、侵入されると AI チャットボットの安全性と合法性のガードレールが解除される AI の「ジェイルブレイク」の開発が行われています。 これは、多くの AI 関連研究機関での主要な研究分野でもあります。
企業とユーザーはどう進めるべきか
これが仕事上または個人的に深刻な脅威をもたらす可能性があると感じているなら、それは正しいことですが、すべてが絶望的なわけではありません。 サイバーセキュリティの専門家は、これらの攻撃に対抗し対応する方法を強化し、ブレインストーミングを行っています。 多くの企業が実施している対策の 1 つは、従業員やユーザーが実際にこれらの電子メールに感染しているかどうかを確認するためのエンドユーザー教育とトレーニングを継続的に実施することです。
不審な標的型メールの量が増加しているということは、あちこちでリマインドするだけではもはや十分ではない可能性があることを意味しており、企業は今後、ユーザーにセキュリティ意識を浸透させることを非常に粘り強く実践する必要があるだろう。 また、エンド ユーザーには、注意を促すだけでなく、詐欺と思われる電子メールを報告し、セキュリティ関連の懸念について話し合うことを奨励する必要があります。 これは企業や全社的なセキュリティだけでなく、私たち個人ユーザーにも当てはまります。 大手テクノロジー企業が、私たちの個人的な電子メールのニーズに対して自社の電子メール サービスを信頼してもらいたいのであれば、このような方法で防御を構築し続ける必要があるでしょう。
ステフェン氏は、企業や企業の文化レベルの変化に加えて、AI 機能を組み込んで悪意のあるメッセージがユーザーに届くことさえ防ぐことができる電子メール フィルタリング ツールの重要性も繰り返し述べています。 脅威は常に進化しており、AI ソフトウェアの能力が向上するにつれて、それを利用する脅威も進化するため、これは定期的なテストと監査を必要とする終わりのない戦いです。
企業はセキュリティ システムを改善する必要がありますが、AI が生成する電子メール攻撃によってもたらされるすべての危険に完全に対処できる単一のソリューションはありません。 Steffen 氏は、ゼロトラスト戦略は攻撃によって生じる制御ギャップを埋め、ほとんどの組織に防御を提供するのに役立つと主張します。 値が上がっているため、個々のユーザーはフィッシングや騙される可能性についてさらに警戒する必要があります。
この種の問題については悲観的な見方に陥りがちですが、何を選択するかについてはより慎重になることができます。 少し時間をとって、すべての情報を確認してください。特定の電子メールを受信した電子メール アドレスを検索して、その電子メールに関連して他の人が問題を抱えていないかどうかを確認することもできます。 オンラインはトリッキーなミラーワールドなので、自分について知恵を絞ることがますます価値があります。