生成AIやLLMにより高度化するフィッシング、どう対抗するか 第2回 LLMを悪用したフィッシングメールの実例と被害

フィッシングメールとは、特定のサービスや人物になりすましたメールのことで、サービスにログインするためのIDとパスワードの組み合わせ（ログイン情報）を盗み出そうとするメール攻撃を指す。フィッシングには特定の人物や業界を狙うものと、広くばら撒かれるものがある。また、マルウェア「Emotet」のように同様の手法でマルウェアに感染させようとするケースもある。

現在、メールが一般的なコミュニケーション手段となっているため、サイバー犯罪者はさまざまなサービスや人物になりすます。例えば、宅配便や銀行からの通知、上司からの業務連絡などになりすます。普段からこうしたメールを受け取ることに慣れていると、同じような特徴を持つメールであれば、フィッシングであることを疑う可能性は低くなる。ブランドロゴやメールの構造や書式が同じであればなおさらである。

これ以外にも、人間の感情に訴えるソーシャルエンジニアリングに長けていることもフィッシングメールの特徴だ。ソーシャルエンジニアリングにおいて最も重要なことは、人の冷静で論理的な思考部分（大脳）を迂回し、感情や「闘争・逃走」中枢（扁桃体）を活性化させることで、普段は考えないような行動をとるようにすることである。

具体的には、「無料チケットはこちら」などと欲求や報酬に訴えるアプローチ、「昨夜あなたがしたことを録画しました」などと羞恥心に訴えるアプローチ、「ログインしないとサービスが解約されます」などと焦燥に訴えるアプローチなどがある。そしてこれらに「今なら」や「今すぐ」という緊急性を加えることで、人はいくつかの疑問をスキップして対応しようとしてしまう。

日本においては、宅配便の不在配達通知、銀行などからのセキュリティ対策強化のためのログイン確認、ショッピングサイトからの身に覚えのない購入確認通知、カード会社からのカード不正使用発覚の通知などが多く検知されている。フィッシング対策協議会の2024年4月の報告書によると、クレジット・信販系（約50.1％）、電力・ガス・水道系（約20.8％）、EC系（約14.9％）、交通系（約3.7％）、官公庁（約2.9％）、行政サービス系（約2.1％）となっている。

フィッシングメールによる影響

フィッシングメールの目的は、サービスを利用するためのログイン情報を盗むことであるため、メールだけでは完結しない。本物のサービスと見分けのつかない偽サイト（フィッシングサイト）に受信者を誘導させる必要がある。そのため、サイバー犯罪者は受信者を焦らせてリンクをクリックさせることに力を入れている。