生成AIやLLMにより高度化するフィッシング、どう対抗するか 第2回 LLMを悪用したフィッシングメールの実例と被害

フィッシングメールに記載されたリンクをクリックすると、該当するサービスのログイン画面が表示される。ここにIDとパスワードを入力するとサイバー犯罪者にその情報を盗まれてしまう。近年では、金融機関のワンタイムパスワードや乱数表を入力させるケースも確認されている。ログイン画面は正規のサイトとまったく同じ外観であるため、見た目だけで判断することは困難である。

特に金融機関の場合は、本人になりましてログインされ、自由に送金されてしまう。こうした被害は急増しており、昨年末から金融庁と警察庁が注意喚起を発表している。インターネットバンキングをかたるフィッシングによる不正送金の被害件数が2023年の1,136件から2024年は5,147件と5倍近く増加しており、被害金額も15.2億円から80.1億円と5倍以上に増加している。

企業では、業務で使用しているシステムのフィッシングにも注意したい。Microsoft 365やGoogle Workspaceを偽るフィッシングも多く、不正にログインされてしまうと業務で使用しているメールやファイルなどにアクセスされてしまう。Emotetは感染したPCからメールにアクセスし、実際に仕事でやり取りしているメールの文面をそのままメールに悪用していた。

業務で使用するシステムのログイン情報を盗まれてしまうと、重要な情報が漏えいしたり、ランサムウェアを仕掛けられたりするリスクにつながる。生成AIによってフィッシングメールはさらに巧妙化が進むと考えられるため、それを踏まえた対策が必要になる。次回は、生成AIを活用したフィッシングの今後と対策について説明する。

著者プロフィール

伊藤 利昭（イトウ トシアキ）　Vade Japan株式会社 カントリーマネージャー

2020年1月に就任。責任者として、日本国内におけるVadeのビジネスを推進する。これまで実績を重ねてきたサービスプロバイダー向けのメールフィルタリング事業の継続的な成長と新たに企業向けのメールセキュリティを展開するに当たり、日本国内のパートナーネットワークの構築に注力している。
（）