生成AIやLLMにより高度化するフィッシング、どう対抗するか 第3回 「礼儀正しく、疑い深い」組織を育成し、AI時代のフィッシングに備える

現在、すでに猛威をふるっているフィッシングだが、対策が困難な理由は検知の難しさにある。一般的なセキュリティ対策ソフトは、主に添付ファイルに注目する。このため、添付ファイルを持たないフィッシングメールは正規のメールと判断してしまう。文面にあるリンク先をフィルタリングにより検知する方法もあるが、サイバー犯罪者は何度もリダイレクトを繰り返し、短いサイクルでURLを変更するため追跡が困難な状況になっている。

件名や内容からフィッシングを特定することも困難である。前述のようにサイバー犯罪者は生成AIによって不自然さのないメールを送ってくるため、よほど注意しないと内容を信じてリンク先でログイン情報を入力してしまう。また、そもそもメールは送信者欄（ヘッダーfromと呼ばれる）の偽装が可能である。また、リンク先のURLを正規のものを少しだけ変更することで誤認識させようとする。

具体的には、「O」（アルファベットのオー）を「0」（数字のゼロ）に置き換えたり、「r」と「n」を並べることで「m」に見せかけたりする。これを瞬時に見破ることは難しい。さらに最近では、QRコードを悪用するフィッシングも増えた。QRコードは単なる画像であるが、スマートフォンのカメラにかざすことでリンクが表示される。メールの本文にリンクを入れる必要がないため、リンクに反応する対策を回避できる。

最近では、フィッシングメール対策として送信ドメイン認証技術である「DMARC」が注目されている。例えば、GmailがDRAMCに対応していないメールを段階的に破棄するようガイドラインを変更したり、日本政府や各業界でのガイドラインでもDMARCが推奨されたりしている。

しかし、DMARCはただ導入するだけでなく、そのポリシーを厳しくする必要がある。また、ヘッダーfromの偽装しか見破ることができない。現在は、DMARCの次の段階としてメールソフトに企業などのロゴを表示する「BIMI」も登場しており、視覚的な判断が可能なことから期待されている。
企業がとるべきフィッシング対策とは

一般的なセキュリティ対策ではフィッシングを防御できない以上、従業員へのトレーニングが重要な対策となる。サイバーセキュリティに強い組織を構築するには、ITに精通していない従業員も含め、組織のメンバーの一人ひとりが「礼儀正しく、疑い深い」マインドセットを持つようトレーニングすることが大切だ。