生成AIによって加速するソーシャルエンジニアリング攻撃、どう防ぐか

NLPは、サイバー犯罪者が非英語圏の国々で説得力のある攻撃を仕掛ける点でも役立っています。従来、攻撃者は言語や文化の壁から、日本や韓国、アラブ首長国連邦（UAE）などの国々を避けてきました。しかし、コミュニケーションを正確に模倣できる生成AIの能力により、これらの地域で標的型BEC（Business Email Compromise：ビジネスメール詐欺）攻撃が増加しています。

実在する人物になりすますだけでなく、攻撃者は高度な生成AIモデルを使用して、まったく新しいアイデンティティを作成することもできます。これらのアイデンティティは、ルアーを送信する前に、FacebookやLinkedInなどのプラットフォーム上でターゲットと交流し、信頼を築くために使用することができます。また、信頼されるメディアや業界団体のアカウントを模倣することもあります。

ディープフェイクの技術はさらに進化し、高度な機械学習モデル（ML）を使用して、人物の容姿、声、仕草に似た非常にリアルなコンテンツを作成します。最も人気のあるモデルの一つであるGenerative Adversarial Network（GAN）は、パラメータを調整し、トレーニングプロセスを微調整することで、フェイク（偽物）のリアルさをさらに向上させます。

サイバー犯罪者はGANやそれに類似したテクノロジーを利用して、不気味なほど説得力のある電話詐欺を仕掛け、大きな成功を収めています。例えば、今年初めに、香港の国際企業で働く財務担当者が、ディープフェイクを使用して同社のCFOになりすましたサイバー犯罪者に2500万ドルを送金するという事件が発生しました。

この詐欺の被害者は、実際に数人のスタッフとのビデオ通話に参加して、当初抱いていた「フィッシングメッセージではないか」という疑念を払拭しました。しかし、他の参加者は全員、実はディープフェイクだったのです。

この高度に進化した技術の組み合わせが、攻撃者に優位性を与えています。フィッシングメッセージは無視されることがありますが、長期間のメールのやり取りや電話、さらにはビデオ会議まで伴うものは、フィッシングかもしれないという疑念を持たれる可能性が低くなります。

洗練された手法に対して疑念を持つ

生成AIによってソーシャルエンジニアリング攻撃の説得力が増したことは間違いありませんが、いくつかの簡単なステップを踏むだけで、これらの攻撃を未然に防ぐことができます。以下、防御策を紹介しましょう。
可能な限り、オンライン上で個人情報の公開を制限する