私たち全員がターゲットです: 生成 AI とスピアフィッシングの自動化

つい最近まで、フィッシング メールはスペルミス、文法エラー、英語以外の構文で判別できました。 ナイジェリア王子詐欺のような、広く使われている一般的な策略を見分けることができました。 私たちのほとんどは、巧妙に練られた標的型スピアフィッシングに遭遇したことはありません。それは、犯罪者にとって、私たちの背景を調査し、パーソナライズされたメッセージを作成するコストが高すぎるからです。 生成 AI により、状況は急速に変化しています。 セキュリティ専門家として、私たちはその結果に備える必要があります。

生成 AI により、スピアフィッシングのエンドツーエンドの自動化が可能になり、コストが削減され、その用途が広がります。 ビジネスメール詐欺 (BEC) のための効果的なスピアフィッシングメッセージを作成するために、攻撃者が実行しなければならない作業について考えてみましょう。 攻撃者はターゲットを選び、そのソーシャル メディアを調査し、最も密接なつながりを見つけ出し、ターゲットの興味を拾い出します。 攻撃者はこの情報を使用して、疑いを避けることを意図した口調で個人的な電子メールを作成します。 この仕事には、思慮深い手がかりの追跡と心理的な直感が必要です。

この作業は自動化できるでしょうか？ 確かに、攻撃者はソーシャル メディア コンテンツのスクレイピングを自動化し、クレデンシャル スタッフィングを使用してアカウントを乗っ取り、情報収集を行っています。 自動化により、攻撃者はターゲットの生活に関する知識グラフを構築できます。

このナレッジグラフを使用すると、攻撃者は、倫理的な保護手段のない ChatGPT のようなサービスに非常に個人的な情報を入力し、ターゲットを絞った効果的なスピアフィッシング メッセージを作成できます。 攻撃者は、ターゲットの信頼傾向に基づいて巧妙に作成されたペルソナを持つ複数の偽アカウントから発信されたメッセージを使用して、電子メールからソーシャル メディアまで複数のチャネルにまたがる一連のメッセージ全体を作成する可能性があります。

この脅威が差し迫っていることを示す兆候があります。 WormGPTやFraudGPTなど、ダークウェブで販売されている新しい攻撃ツールに関する報告は、犯罪者が生成AIをフィッシングなどの悪質な目的に利用し始めていることを示しています。 この技術の使用はまだ大規模なエンドツーエンドの自動化には至っていませんが、要素が組み合わさりつつあり、サイバー犯罪の経済的ダイナミクスにより、その発展はほぼ避けられないものとなっています。

サイバー犯罪の経済には、イノベーションを推進する専門分野が存在します。 世界経済フォーラム（WEF）は、サイバー犯罪が現在、米国と中国に次ぐ世界第3位の経済規模を誇り、その被害額は2023年には8兆ドル、2025年には10.5兆ドルに達すると予測している。 他の大規模経済と同様に、サイバー犯罪経済にも専門分野を持つベンダーが存在します。盗まれた認証情報を販売するベンダー、侵害されたアカウントへのアクセスを提供するベンダー、数千万の住宅 IP アドレスの IP アドレス プロキシを提供するベンダーなどが存在します。

さらに、電子メール テンプレートからリアルタイムのフィッシング プロキシ サイトまで、完全なツールキットを提供するフィッシング サービスプロバイダーもあります。 (フィッシング サイトが有効な TLS を使用して実際のサイトを偽装する方法について説明した Jay Kelley の記事を参照してください。) ベンダーが犯罪者のビジネスを獲得するために競争する中、最も低コストのエンドツーエンドのサービスを提供する組織が最高の報酬を得ることになり、この動きがスピアフィッシングの自動化を推進する可能性が高い。 ターゲットに関するさまざまな種類のデータ収集、データ集約、特定の業界に重点を置いた LLM を専門とする組織や、さまざまな種類の詐欺に優れた組織を想像できます。

新たな標的に対するスピアフィッシングが増加する可能性を考慮すると、組織は既存のフィッシング対策を強化する必要があります。

フィッシング意識向上トレーニング: フィッシングの危険性、疑わしい電子メールの見分け方、フィッシングの可能性のある行為に遭遇した場合に取るべき手順について、従業員に定期的に教育することが長い間重要でした。 ただし、多くの組織では、スペルや文法の間違いからフィッシングメールを認識できるように従業員をトレーニングしています。 代わりに、信頼されていない、検証されていないソースからのリクエストに注意するよう人々を訓練するために、トレーニングをさらに深める必要があります。 フィッシング メールを識別する従業員の能力をテストするために模擬フィッシング キャンペーンを実施する場合は、よく書かれたプロフェッショナルな、特定の従業員をターゲットにした、正当と思われるソースから発信されたフィッシング メッセージを使用します。

リアルタイムフィッシングプロキシからの防御: 攻撃者は多くの場合、リアルタイムのフィッシング プロキシを介して多要素認証 (MFA) を回避するためにフィッシングを使用します。 犯罪者はフィッシングを使用して、ユーザーを騙し、自分が管理するサイトに認証情報とワンタイムパスワードを入力させ、それを実際のアプリケーションにプロキシしてアクセスを取得します。 (MFA バイパスと防御の詳細については、ホワイトペーパーを参照してください。 MFA はアカウント乗っ取りの脅威を解決しますか?

アカウント乗っ取りに対する防御をさらに強化: 犯罪者はボットを使用したクレデンシャルスタッフィングを通じて大規模なアカウントの制御権を獲得し、その結果、膨大な数のアカウントが乗っ取られます。 金融詐欺に加えて、犯罪者はスクレイピングを通じて追加の個人データを収集し、それをさらなるフィッシング攻撃に使用します。 ボットに対して効果的に防御するには、豊富なシグナル収集と機械学習が必要です。

AIを使ってAIと戦う: 犯罪者が生成 AI を悪用して詐欺を働いているため、組織は防御に AI を活用する必要があります。 F5 は組織と提携し、豊富なシグナル収集と AI を活用して不正行為と戦います。 F5 Distributed Cloud Account Protection は、ユーザー ジャーニー全体にわたってトランザクションをリアルタイムで監視し、悪意のあるアクティビティを検出して、正確な不正検出率を実現します。 アプリケーション内での不正行為を検出できれば、フィッシングによる被害を軽減できます。 (AI でトラフィックを検査するには、トラフィックを効率的に復号化する必要がありますが、これはTLS オーケストレーションで効率的に実現できます。)