生成AIは電子メール詐欺のクオリティーを引き上げた 最近の手口に起きた変化CFO Dive

金銭の不正入手を目的として送られる電子メール詐欺において、英語以外の言語が増え、正しい文法や言い回しの自然な電子メールが急増している。これは生成AIの活用によるものだと考えられている。

» 2023年08月02日 07時00分 公開
[Alexei AlexisCFO Dive]

この記事は会員限定です。会員登録すると全てご覧いただけます。

CFO Dive

 サイバーセキュリティ企業Fortraは「『ChatGPT』のような生成AI(人工知能)ツールが企業から金銭を盗むことを目的とした、より巧妙な電子メール詐欺の拡散を助長している可能性がある」と指摘した。

 Fortraは最近の報告書で「2023年第1四半期、企業における電子メールの脅威は過去最高を記録し、全体の4分の1が悪意のある、または信頼できない電子メールに分類された」と述べている(注1)。これらの脅威の99%がなりすまし攻撃に分類された。

 Fortraの脅威研究シニアフェローであるジョン・ウィルソン氏は、「CFO Dive」の取材に対し「ハッカーは、これまで電子メール詐欺によくみられた稚拙なスペルや文法の誤りを無くし、非常に自然な電子メールのメッセージを大規模に作成するために、生成AIを活用しているようだ」と話す。また、ハッカーが言語翻訳をAIに頼っている可能性を示す証拠が、最近明らかになったという。

電子メール詐欺の高クオリティー化が進んでいる その実態とは?

 Fortraは「サイバー犯罪者によるソーシャルエンジニアリングの利用が増加している」と指摘する。ソーシャルエンジニアリングとは、人間の行動やミスを利用して貴重な情報や資産にアクセスできるように設計された不正行為を指す。

 ITサービスを提供するVerizon Businessは2023年データ侵害調査報告書で「ソーシャルエンジニアリングは、ナイジェリアの王子を名乗って金銭をだまし取る古典的な『ナイジェリア王子の詐欺』と呼ばれる手口から、発見がはるかに困難な手口へと大きく進歩している」と指摘する(注2)。

 特にビジネスメールによる詐欺では、送金を依頼する会社の従業員が格好のターゲットになる傾向がある。このような詐欺は、Verizon Businessのインシデントデータセット全体でほぼ倍増し、現在ではソーシャルエンジニアリングカテゴリーのインシデントの50%以上を占めている。この攻撃によって盗まれる金額の中央値も、ここ数年で増加し、5万ドルに達した。

 Microsoftが2023年5月に発表した調査報告によると(注3)、サイバー犯罪者は家庭用のインターネットプロトコルアドレスを利用して侵入がローカルで発生したように見せかけて、セキュリティ警告を回避しているという。

 FBIのインターネット犯罪苦情センターによると(注4)、2022年は2万1832件の苦情が寄せられ、その被害総額は27億ドルを超えたという。

 Fortraによれば、サイバー犯罪者によるこうした攻撃は、従来は組織のCEO(最高経営責任者)やその他の上級幹部になりすまし、電子メールの受信者をだまして多額の金銭取引を開始させるものだった。しかし最近では、脅威の標的を被害者と関係のあるベンダーにまで拡大するケースが増えている。

 同社の報告書によると、「被害組織は第三者やビジネスパートナーを危険にさらすことで、重要な内部情報を含むリアリティーの高い電子メールを受け取りやすくなり、攻撃の正当性が大幅に高まる」とのことだ。

 文法やつづりが不自然であることは、これまで電子メール詐欺の典型的な傾向として知られてきた。しかしFortraのウィルソン氏によると、同社は一見言葉巧みに思える詐欺メッセージの増加を観察しているという。ほんの2年前まではほとんど英語が使われていた給与流用詐欺の手口においても、使用言語が増加しているようだ。

 「今日では、フランス語やポーランド語、ドイツ語、スウェーデン語、オランダ語、その他、幾つか言語で同じ詐欺が試みられている。文法を改善するために、あるいは特定のメッセージについて『Google翻訳』の能力を超えるレベルの翻訳にするために、生成AIが使用されたかどうかを確かめることは困難だ。しかし文法が改善され、対象言語に拡大されたタイミングとテキストの量が、生成AIの使用を示唆している」とウィルソン氏は述べた。

 Fortraによると、セキュリティ意識を高めるトレーニングは、脅威に対抗するための重要なツールになり得るという。またサイバーセキュリティ企業の報告書は、高度な電子メールの脅威を検出し、対応するために最適化された電子メールセキュリティレイヤーの追加を推奨している。

 「異常やパターンの検出を支援する、ML(機械学習)によるアルゴリズムの適用は、電子メールを徹底的、かつ正確に検査するためにますます必要になるだろう」と同報告書は述べている。

(注1)99% of User-Related Threats Are Email Impersonation Attempts(Fortra)
(注2)2023 Data Breach Investigations Report: frequency and cost of social engineering attacks skyrocket(Verizon)
(注3)Shifting tactics fuel surge in business email compromise(Microsoft)
(注4)Internet Crime Report(FBI)

© Industry Dive. All rights reserved.

注目のテーマ