IBMは、ChatGPTを悪用したフィッシング詐欺メールの生成方法とサイバーセキュリティの専門家が同様のメールを生成するプロセスを比較した研究結果を発表した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
IBMは2023年10月24日(現地時間)、生成AI(人工知能)を悪用したフィッシングメールの作成に関する研究結果を公表した。
この研究では「ChatGPT」を悪用して短時間で説得力のあるフィッシングメールを作成する方法と、サイバーセキュリティ専門家が同様のメールを作成する方法を比較し、その過程や時間、詐欺成果にどのような違いがあるかを明らかにしている。
報告された研究結果の主な内容は以下の通りだ。
なおIBMは、フィッシングメールを作成するのにChatGPTに以下のような指示をしたと説明している。
研究結果ではサイバーセキュリティの専門家が作成したフィッシングメールの方がChatGPTの生成したフィッシングメールよりも本物らしいと評価されている。しかしChatGPTは生成にかける時間が2日間分は短いため、サイバー攻撃者にその分時間的なアドバンテージを与えることになる。生成AIは今後も生成する文章の品質向上が期待できることから、そのリスクは現状よりも高くなる可能性がある。
悪意のある利用に規制を設けているChatGPTでさえ、取り上げられている方法を使えば制限を回避してフィッシングメールを作成できる。加えてサイバー攻撃者らは、ダークWebで「WormGPT」といった規制のない大規模言語モデル(LLM)を販売していることから、将来的なリスクはさらに高いものになる可能性がある。
IBMはフィッシングにだまされれない方法として以下の事項を推奨している。
生成AIの登場によりフィッシングはこれまでよりも進化しサイバーセキュリティへのアプローチを再評価することが求められているとし、再度の評価と警戒に取り組むことが望まれている。
Copyright © ITmedia, Inc. All Rights Reserved.