AI技術の飛躍的な進歩に伴い、フィッシング詐欺の手口も一層巧妙化しています。
例えば、従来のフィッシングメールは単純な詐欺文が多かったものの、現在では文法的に正確で自然な文章が生成され、受信者を騙す手法が高度化しています。
進化する脅威に対し、企業はどのようにして防御策を講じるべきでしょうか。
本記事では、巧妙化するフィッシング詐欺の手口と、その対策について詳しく解説します。
1.AI技術によるフィッシング詐欺の巧妙化
フィッシングメールの認知や、一定の対策がユーザーの間に広まった一方で、フィッシングメールもAIの登場により劇的な進化を遂げました。
本節では、フィッシングの手法が具体的にどのように進化しているのかについて詳しく解説します。
AIによるフィッシングメールの生成
従来のフィッシングメールには明らかな誤りやスペルミスが多く、容易に見破ることができました。
現在ではAIを活用し、まるで人が書いたかのような人間らしい文章が生成されるため、受信者に対する信憑性が飛躍的に向上しています。
これは、AIが大量のデータを分析し、適切な言葉遣いや表現を学習することにより実現されています。
AIによって生成されたフィッシングメールは、文章としての正確さに加えて、より自然な言い回しと正規のメールの口調を模倣できるため、一見すると正規の企業や個人から送られてきたもののように見えるほどの精巧さです。
ターゲットを狙った個別化の向上
AIの活用により、SNSやインターネット上に公開されている情報を収集し、フィッシングメールにターゲットの関心や趣味に合わせた内容を織り込めます。
ターゲットの過去のメールや通信パターンを学習し、そのスタイルやトーンを模倣することまで可能です。
例えば、ターゲットの名前や職務内容から、個々に宛てた形式にするとともに、過去に特定の企業と取引をしていた場合、その企業名や取引内容に関する情報をメールに含めることで、受信者はそのメールが正当なものであると錯覚しやすくなります。
フィッシング攻撃の自動化
AIはターゲットのメールアドレスを収集し一斉送信を行います。
テンプレートを自動生成し、それぞれのテンプレートを個別のターゲットに合わせてカスタマイズまで行います。
数千、数万件のフィッシングメールを短時間で作成・送信でき、その規模と速度は企業や個人にとって大きな脅威です。
さらに、送信後のメールの効果をAIに分析させ、精度を向上することが可能です。
例えば、どのメールが開封され、どのリンクがクリックされたのかといったデータを収集し、それに基づいて次の攻撃をより効果的にするための調整を行います。
このようにして、フィッシング攻撃は継続的に改善され、ますます高度で巧妙な手法が生まれる仕組みとなっています。
ソーシャルエンジニアリングの強化
ソーシャルエンジニアリングとは、人間の心理や行動を巧みに利用して情報を引き出す技術です。
AIは、ターゲットのオンライン行動やソーシャルメディアでの活動を分析し、その人の興味や関心、行動パターンを把握します。
得た情報をもとに、ターゲットが反応しやすい内容や状況を巧みに作り上げ、説得力のあるフィッシングメールを生成する仕組みです。
ターゲットの人間関係から、信頼できる人物になりすましてメールを送ることも可能です。
同僚や友人の言葉遣いやコミュニケーションスタイルを模倣することで、ターゲットはメールの信憑性を疑うことなく、情報を提供してしまう可能性が高まります。
検出回避技術の進化
従来のフィッシングメールは、スパムフィルターやセキュリティシステムによって比較的容易に検出されていましたが、AIを活用することで、防御策を回避する手法がますます洗練されてきています。
AIは、セキュリティシステムの検出アルゴリズムを学習し、その弱点を見つけ出すことができるのです。
フィッシングメールのテンプレートを複数作成し、それぞれに微妙な変更を加えることで、検出されにくいメールを大量に生成したり、ネットワークトラフィックの分析を行い、通常の通信パターンに合わせてフィッシングメールを送信することで、検出されにくくしたりしています。
2. 巧妙なフィッシングメールの事例
では、巧妙なフィッシングメールの具体的な事例を見ていきましょう。
ここでは、大手企業を標的にしたフィッシングメールを取り上げます。
多くの犯罪者たちが、有名企業の信頼性を悪用し、ユーザーを騙そうとしています。
これらの事例から、AIを悪用したフィッシング詐欺がどれほど高度化しているか実感を持っていただけるでしょう。
楽天銀行を装った事例
楽天銀行を騙り、ATMで入金取引があったことを知らせ、ログインを促すフィッシングメールです。
いくつかのリンクがメールに貼られており、一番上以外は全て本物の楽天銀行のサイトへ飛ぶ仕組みです。
出典:ロケットニュース24
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
フィッシングサイトはID・PASSを登録するフォームですが、作りは精巧そのもので、URLが不自然な点以外、見分けがつきません。
ログインすると、楽天の本物のサイトへ遷移します。
出典:ロケットニュース24
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
出典:ロケットニュース24
【気をつけろ】楽天銀行を装うフィッシング詐欺がシンプルだけど危険度高めな理由とは?
通常は名前やメールアドレスなどの個人情報、クレジットカード番号などをフィッシングサイトで取得しますが、今回のフィッシング詐欺はシンプルにID・PASSのみを抜き取ることを目的としています。
個人情報がなくともID・PASSさえあれば、個人情報の取得など悪用できることも多いため、シンプルな罠で最大限の被害を狙ったものと言えます。
ヤマト運輸を装った事例
続いて、ヤマト運輸の事例です。
「お荷物お届けのお知らせ」というタイトルで、ヤマト運輸を装ったメールが送られてきます。
出典:弁護士JPニュース
急増「フィッシング詐欺」なぜ引っかかる? ヤマト運輸“偽メール”受信した男性が本物と 信じた2つの要因
メールを開封すると、配達時に不在であったため、再配達の依頼を促す内容となっています。
送り状番号、クール宅急便であること、配達状況なども記載されており、本物そっくりの精巧な作りです。
メール内の一部リンクは本物のサイトへつながっており、簡単に疑われ ないよう巧妙に作り込まれています。
出典:弁護士JPニュース
急増「フィッシング詐欺」なぜ引っかかる? ヤマト運輸“偽メール”受信した男性が本物と 信じた2つの要因
偽物と気づかずに「再配達を依頼する」のバナーをクリックすると、遷移したフィッシングサイトで名前、電話番号、そしてクレジットカード番号の入力まで求められる仕組みです。
通販で買い物される方などは、よく目にするメールではないでしょうか。
注文のタイミング次第では、サイトの精巧さも手伝って、本物と信じてしまう可能性もあるのではと思います。
3. パスワードレス認証システムによる対策
パスワードレス認証のメリットと注意点
フィッシング詐欺は誰にでも起こりうる時代になりました。
事業者はパスワードを盗まれることを前提にログイン対策を講じる必要があります。
解決策の1つはパスワードレス認証です。
パスワードレス認証を採用することにより、そもそもパスワードが盗まれるリスクが無くなるということです。
ユーザーが複雑なパスワードを覚える必要がなくなり、ログインプロセスが簡素化されることで利便性も向上します。
しかし、パスワードレス認証には技術的な課題も存在します。
生体認証などの高度な技術が必要で、システム導入には初期投資が必要です。
また、生体情報の収集と保管は、プライバシーに関する懸念を引き起こす可能性があります。
パスワードレス認証システムを検討する際には、適切なツールを吟味することが重要です。
Infront Securityはパスワードレス認証の最適解
Infront Securityは、ユーザーが既に所有しているスマートフォンや電話を利用するパスワードレス認証です。
導入は容易で、多くのメリットがあります。
まず、既存のシステムやプラットフォームとの連携が簡単です。
ユーザーは追加のハードウェアを購入する必要がなく、現在使用しているデバイスをそのまま活用できます。
スマートフォンはほとんどの人が所有しているため、Infront Securityは多くのユーザーにとって利用しやすい環境です。
技術に詳しくないユーザーや高齢者でも簡単に使用できることは大きなメリットとなります。
また、個人情報を直接扱わず、電話番号を不可逆的にハッシュ化した値のみを使用するため、プライバシーに関する懸念が大幅に軽減されます。
ユーザーの生体情報や個人データを収集・保管する必要がないため、プライバシー保護に役立ちます。
さらに、電話端末を使用した認証は、従来のパスワードベースの認証よりもセキュリティが高くなります。
不正アクセスのリスクを減らし、ユーザーのアカウントを保護するための追加の対策として機能するのです。
安全性の高さはもとより、様々な利便性を兼ね備える電話端末認証は、未来の認証システムの新しいスタンダードになるかもしれません。
