「生成AIによって加速するソーシャルエンジニアリング攻撃、どう防ぐか」
サイバーセキュリティの分野において、AIは長い間注目を集めてきました。AI技術の初期には、「AIこそがサイバー犯罪者が待ち望んでいた万能の武器だ」という意見から、「AIはメールを書く手助けに多少なるかもしれない」といった意見まで、さまざまな見解がありました。
https://news.mynavi.jp/techplus/article/20240912-3023168/
出典:TECH+
<サイバー犯罪者のAI活用>
時代は進み、生成AIの時代に突入した今、サイバー犯罪者が非常に強力なツールを手に入れたことは間違いありません。AIが単なる雑務を手助けしていた段階は過ぎ去り、生成AIは現在、ソーシャルエンジニアリングの手法を一変させています。これにより、サイバー犯罪者は顔や人格を巧妙に偽装したり、新しいアイデンティティを簡単に作り出したりすることができるようになっています。
このような状況から、生成AIがCISOの懸念リストのトップに位置しています。プルーフポイントの年次レポート「2024 Voice of the CISO」によると、全体の半数以上(54%)のCISOが、生成AIが自社にセキュリティリスクをもたらすと考えています。業種別に見ると、「教育」「医療」「公共部門」「コンサルティング」「メディア、レジャー、エンターテインメント」「金融」「IT、テクノロジー、電気通信」のCISOの半数以上が、そのように回答しています。
<生成AIでサイバー犯罪が巧妙化>
サイバー犯罪者は長い間、私たちの従業員をだまし、操り、組織への侵入の扉を開かせてきました。メールが依然として最大の攻撃経路である一方、最近の生成AIの進展により、彼らはあらゆるチャネルで説得力のあるソーシャルエンジニアリング攻撃を仕掛けることが可能になっています。
NLP(自然言語処理)モデルは、ソーシャルメディアのフィードから漏洩したチャットログまで、膨大な会話データセットを分析し、サイバー犯罪者が信頼できる人物の口調や会話のパターンを模倣するのを助けます。これにより、メールやLinkedIn、Facebookメッセンジャー、WhatsApp、LINEなどのメッセージングアプリでのコミュニケーションが、本物なのか偽装されたものなのかを区別することが、今までになく難しくなっています。
<対策を考える~疑念を持つこと>
・可能な限り、オンライン上で個人情報の公開を制限する
・資金の移動や財務情報・機密情報に関するコミュニケーションの方針を明確に定めておく
・最新のサイバーセキュリティのトレーニングを実施し、継続的な意識向上を図る
現代のサイバー攻撃者は、ツールやテクノロジーを使ってネットワークに侵入することは、ほとんどありません。多くの場合、彼らは従業員をだまして操り、侵入させるのです。このような環境では、セキュリティ教育に対してオープンで批判的な視点で取り組むことが重要です。
今やほとんど何でも可能なサイバー環境では、あらゆる可能性を認識することが、ソーシャルエンジニアリング攻撃の未遂と成功の分かれ目になるかもしれません。
予想を上回る勢いで私たちの生活に入り込んでいるAI技術。
残念ながら、善良な活用だけではないようです。
サイバー犯罪者の手にかかると、より巧妙なサイバー犯罪の武器となってしまうのです。
最終的に私たちユーザーが疑念や警戒心を持って臨むしかないようです。
日本人は人を疑うことは悪いこと、というイメージが強いような気がします。性善説が根強いのですよね。
昨今のサイバー犯罪に関しては性善説は通用しなと思います。充分警戒しましょう。
★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。
私たちだからできる「ワンストップサービス」も魅力の1つです!
⇒ 専用ページはこちら
★-------------------------------------------★