生成AIやLLMにより高度化するフィッシング、どう対抗するか 第3回 「礼儀正しく、疑い深い」組織を育成し、AI時代のフィッシングに備える

画像提供：マイナビニュース

LLM（大規模言語モデル）ベースのAIツールは日々進化しており、フィッシングはさらに巧妙になっていくと考えられる。しかし、こうしたフィッシングメールを見分けるのは容易ではない。そのため、一人ひとりがその特徴を把握し、セキュリティ意識を向上させ続けることが今まで以上に重要になる。今回は、悪意あるAIから組織を守るための対策を紹介する。
今後の生成AIとフィッシング

LLMベースの生成AI（以下、生成AI）サービスは日々進化しており、展開も目覚ましい。Webブラウザをはじめとする多様なアプリに搭載され、OSにさえ統合されている。学習データはさらに増え、目的に特化した生成AIも登場し始めている。手軽に高度なオリジナルコンテンツを作成できるようになり、さまざまなモノの価値が変わる可能性もある。

当然、サイバー犯罪者も生成AIを悪用すると考えられる。フィッシングに限定しても、例えば翻訳機能を活用すればどのような言語でもフィッシングメールを作成し、送信することが可能だ。すでに現在のフィッシングメールに使われる日本語に違和感はない。

また、標的型のフィッシングメール、スピアフィッシングも巧妙なものが増加すると考えられる。大量のビジネスメールを学習させるとともに、生成AIを使った検索エンジンを用いることで、実在の企業や個人になりすましたフィッシングメールが届く可能性がある。サイバー犯罪者は、これまでのフィッシングや「Emotet」などのマルウェアで得た膨大なメールデータを持っているため、これを生かさないということはないだろう。

さらに、フィッシングが行われるエリアも拡大すると考えられる。すでにスマートフォンなどのSMS（Short Message Service）を使ったフィッシング（スミッシング）も増えているが、これが一層増加する可能性がある。SMSは送信元やリンク先の確認が難しいため、引っかかってしまいやすい。

同様に、SNS（Social Networking Service）でのフィッシングも増加するだろう。SNSにはアカウント連携機能があるため、これを許可してしまうと連携したアプリの情報を盗まれたり、攻撃の踏み台にされたりする恐れがある。この他にも、Webブラウザ上で表示される「偽警告画面」も巧妙化するだろう。メッセンジャーサービスやチャットサービスにも拡大する可能性もある。

フィッシングの検知の難しさ