生成AI vs. 専門家 高精度のフィッシングメールを作れるのはどっち？：セキュリティニュースアラート

IBMは、ChatGPTを悪用したフィッシング詐欺メールの生成方法とサイバーセキュリティの専門家が同様のメールを生成するプロセスを比較した研究結果を発表した。

[後藤大地，有限会社オングス]

　IBMは2023年10月24日（現地時間）、生成AI（人工知能）を悪用したフィッシングメールの作成に関する研究結果を公表した。

　この研究では「ChatGPT」を悪用して短時間で説得力のあるフィッシングメールを作成する方法と、サイバーセキュリティ専門家が同様のメールを作成する方法を比較し、その過程や時間、詐欺成果にどのような違いがあるかを明らかにしている。

IBMは生成AIを悪用したフィッシングメールの作成に関する研究結果を公表した（出典：IBMのWebサイト）

生成AI vs. 専門家　高精度のフィッシングメールを作れるのはどっち？

　報告された研究結果の主な内容は以下の通りだ。

• ChatGPTを使ったケースでは、5つの簡単なプロンプトで生成AIモデルをだまし、たった5分で特定の業界に合わせた説得力の高いフィッシングメールを作成できた。このフィッシングメールのクリックレートは11％だった
• 経験豊富なサイバーセキュリティの専門家はフィッシングメールを作成するのに調査分析から通常約16時間を必要としている。このフィッシングメールのクリックレートは14％だった
• 企業のフィッシングメールの平均クリックレートは8％であり、ChatGPTが生成したフィッシングメールとサイバーセキュリティの専門家が作成したフィッシングメールのどちらもこの平均値を上回った

　なおIBMは、フィッシングメールを作成するのにChatGPTに以下のような指示をしたと説明している。

1. 対象とする業界（今回のケースではヘルスケア業界）の従業員が懸念している主な領域について詳しく尋ねる
2. 電子メールにおいてソーシャルエンジニアリングとマーケティングの双方の手法の使用について戦略的な選択を実施するように促す
3. 送信者を誰にすべきかを尋ねる
4. 電子メールを作成するに当たり、1．ヘルスケア業界の従業員がもっとも懸念している分野、2．使用すべきソーシャルエンジニアリング手法、3．使用すべきマーケティング手法、4．なりすます必要がある個人または会社、などを考慮するように指示する

　研究結果ではサイバーセキュリティの専門家が作成したフィッシングメールの方がChatGPTの生成したフィッシングメールよりも本物らしいと評価されている。しかしChatGPTは生成にかける時間が2日間分は短いため、サイバー攻撃者にその分時間的なアドバンテージを与えることになる。生成AIは今後も生成する文章の品質向上が期待できることから、そのリスクは現状よりも高くなる可能性がある。

　悪意のある利用に規制を設けているChatGPTでさえ、取り上げられている方法を使えば制限を回避してフィッシングメールを作成できる。加えてサイバー攻撃者らは、ダークWebで「WormGPT」といった規制のない大規模言語モデル（LLM）を販売していることから、将来的なリスクはさらに高いものになる可能性がある。

　IBMはフィッシングにだまされれない方法として以下の事項を推奨している。

• 疑わしい場合は送信者に電話をして確認する
• フィッシングメールには文法ミスやスペルミスがあるという従来の概念は捨てる。生成AIが作成する電子メールは洗練されている
• トレーニングプログラムにボイスフィッシングといった新たな攻撃への対策を導入するなどの刷新に取り組む
• IDやアクセス管理制御を強化する
• 絶えず適応し革新を続ける

　生成AIの登場によりフィッシングはこれまでよりも進化しサイバーセキュリティへのアプローチを再評価することが求められているとし、再度の評価と警戒に取り組むことが望まれている。