フィッシングの脅威は年々進化している、 過去4年間でサイバー犯罪者は、個人や組織を騙して機密情報を漏えいさせる新たな方法を常に見つけ出している。フィッシング攻撃における人工知能(AI)の利用もそのような進化の1つであり、高度なサイバーセキュリティ・ソリューションに対する需要の急増にもつながっている。サイバーセキュリティにおける人工知能市場は、年平均成長率(CAGR)27.5%で推移すると予測されている。 (年平均成長率と予測されている。
高度なフィッシング脅威の一般的なタイプ
高度なフィッシングの脅威は、様々な洗練された手口を含み、多くの場合、高度なパーソナライゼーションやソーシャルエンジニアリングを伴うため、検出が困難です。脅威は一般的に以下のように分類されます:
スピアフィッシング
AIと機械学習は、ソーシャルメディアやその他のソースから公開されている膨大な量のデータを収集・分析し、高度にパーソナライズされたフィッシング・メールを作成するために使用することができる。このようなメールには、ターゲットの興味、職務、最近の活動など、ターゲットに関する具体的な詳細が含まれている場合があり、より説得力のあるものとなる。
自然言語生成
AIを活用した自然言語生成(NLG)ツール NLPアルゴリズムは、人間が作成したように見えるテキストを生成することで、より説得力のあるフィッシング・メールを作成することができます。非構造化データを収集・分析し、カスタマイズされた質の高いコンテンツを作成することで、NLGは受信者が言語だけで詐欺メールであると特定することを難しくする。
チャットボットと音声クローン
AI主導のチャットボットと音声クローンテクノロジーは、CEOやマネージャーといった信頼できる人物の声や行動を模倣することができる。攻撃者はこの技術を使って電話をかけたり、電子メールやメッセージングアプリを介して会話を行い、従業員を騙して特定の行動を取らせることができる。
クレデンシャル盗難
AIアルゴリズムは、盗まれた認証情報の大規模なデータセットを分析し、パターンや一般的なパスワードを特定することができる。この情報は、ログイン認証情報を盗むことに成功する可能性が高いフィッシングキャンペーンを作成するために使用することができます。
攻撃の自動化
AIは、大量のフィッシング・メールの送信、脆弱な標的の特定、説得力のあるフィッシング・ウェブサイトの作成など、フィッシング攻撃のさまざまな側面を自動化することができる。そのため、サイバー犯罪者は容易に作戦を拡大することができる。
新時代の高度なフィッシング脅威の目標
高度なフィッシングの脅威の目的は多面的であり、様々な目的のために個人や組織を悪用しようとする悪意のある行為者によって引き起こされることが多い。データの盗難は、多くのフィッシング攻撃の主な目的の1つです。サイバー犯罪者は、個人情報、財務記録、ログイン認証、知的財産など、機密性の高い貴重なデータを盗むことを目的としています。
フィッシング攻撃、特に個人や企業をターゲットにした攻撃では、金銭的な詐欺がもう1つの一般的な目的となっている。ある 注目すべき事件2019年3月、犯罪者はAIベースのソフトウェアを使ってCEOの声になりすまし、22万ユーロの不正送金を試みた。英国に拠点を置くエネルギー会社のCEOは、ドイツ人の上司の声を真似た電話を受け、ハンガリーのサプライヤーへの資金を緊急に要求した。
AIの専門家たちは、AIによるサイバー攻撃を予期していたが、今回の事件は、サイバー犯罪における音声なりすましにAIが使用された最初の事例となった。この事件は、サイバー犯罪の手口におけるAIの高度化を浮き彫りにしている。
多くの場合、フィッシング・サイバーの脅威は、その影響を最大化するために、これらの目標を組み合わせています。例えば、従業員の企業メールアカウントを狙ったフィッシング攻撃は、金銭的な利益のために会社の機密データを盗むと同時に、将来のサイバー犯罪のために従業員の身元を危険にさらすことを目的としているかもしれません。
フィッシングの脅威は進化し続けており、サイバー犯罪者はその目的を達成するためにますます巧妙な手口を用いている。そのため、個人や組織は警戒を怠らず、強固なサイバーセキュリティ対策を実施し、これらの脅威を認識し、防御するためにユーザーを教育する必要があります。
フィッシング詐欺から身を守るには?
フィッシングの脅威に対する計画には、フィッシング攻撃の被害に遭うリスクを軽減するための事前対策とセキュリティ対策の組み合わせが含まれます。ここでは、それぞれの戦略について詳しく説明する:
社員教育・啓発
-
フィッシングメールを見分ける
フィッシング・メールを見分けるための従業員教育は、重要な第一の防御策である。予期せぬ送信者アドレス、一般的な挨拶文、スペルミスのある単語、通常とは異なる添付ファイルやリンクなど、疑わしいEメールの特徴を識別することを学ぶべきである。
-
安全なブラウジングの実践
安全な閲覧習慣について従業員を教育し、疑わしいリンクをクリックしたり、信頼できないソースからファイルをダウンロードしたりしないことの重要性を強調する。ウェブサイトや電子メールの送信元の正当性を確認する方法に関するガイドラインを提供する。
強力なパスワードポリシー
従業員に対し、複雑なパスワードを使用し、定期的に変更し、容易に推測可能な情報を使用しないよう求める強固なパスワードポリシーを導入する。強力なパスワードを安全に保存・生成するためのパスワード管理ツールの使用を奨励する。
二要素認証 (2FA)
可能な限り、二要素認証(2FA)の使用を強制する。2FAは、パスワードに加えて、モバイル・デバイスに送信されるワンタイム・コードなどの第2の認証要素の提供をユーザーに要求することで、セキュリティのレイヤーを追加します。
メールフィルタリングとフィッシング対策ツール
従業員の受信トレイに届く前にフィッシングメールを検知し、ブロックできる高度なメールフィルタリングソリューションやアンチフィッシングツールを採用する。これらのツールは、機械学習やパターン認識などの様々な技術を使用して、疑わしいメールを識別します。
定期的なソフトウェアアップデート
オペレーティング・システム、ブラウザ、アプリケーションなど、すべてのソフトウェアを最新のセキュリティ・パッチに更新する。サイバー犯罪者は、古いソフトウェアの脆弱性を悪用することがよくあります。
人工知能と機械学習の力を行使する
人工知能(AI)と機械学習(ML)を活用して、サイバーセキュリティの防御を強化しましょう。AIとMLは、フィッシングの試みを検出するためのパターン分析、ユーザー行動の異常の特定、新しいフィッシングの手口を認識することによるメールセキュリティの強化など、さまざまな方法で役立ちます。 いくつかの企業は、サイバーセキュリティの課題に立ち向かうために、すでにAIを採用している。
DMARCの実装
DMARCとは、Domain-based Message Authentication, Reporting, and Conformanceの略で、電子メールのなりすましを含む特定のタイプのフィッシング攻撃を防ぐのに役立つ。 DMARCは電子メール認証プロトコルで、組織の電子メールドメインが不正な目的に使用されないように保護するのに役立ちます。ここでは、DMARCがフィッシング攻撃の防止にどのように役立つかを説明します:
-
認証とバリデーション
DMARCは他の2つの 電子メール認証プロトコル、SPF (センダー・ポリシー・フレームワーク)とDKIM(DomainKeys Identified Mail)に基づいている。SPFは、ドメイン所有者が自分の代わりに電子メールを送信することを許可されたメールサーバーを指定することを可能にし、DKIMは、暗号署名を使用して電子メールメッセージに署名することを可能にします。DMARCは、これらの認証メカニズムを使用して、受信メールの真正性を検証します。
-
ポリシーの実施
DMARCでは、ドメイン所有者は DMARCポリシーのポリシーを指定することができます。3つのポリシーレベルから選択できる:なし(p=none)、隔離(p=quarantine)、拒否(p=reject)。
-
報告とフィードバック
DMARC には、ドメイン所有者が電子メール受信者から電子メール認証結果に関するフィードバックを受 け取ることを可能にするレポート・メカニズムが含まれている。このフィードバックは、認証失敗の原因や頻度に関する洞察を提供し、組織 が電子メール・セキュリティ・ポリシーを微調整するのに役立つ。
今後のフィッシング脅威の予測
進化するサイバーセキュリティの状況において、フィッシング攻撃にはいくつかの傾向が現れている。AIを活用したフィッシングの脅威は、Eメールをより説得力のあるものにし、パーソナライズする。スピア・フィッシングはより巧妙になり、非常に説得力のあるメッセージで特定の個人を狙うようになる。
また、SMS(スミッシング)や音声通話(ビッシング)を介した攻撃も増加するだろう。クレデンシャル・スタッフィングや、アカウント奪取のために盗まれたクレデンシャルを使用する手口は、さらに顕著に増加するだろう。さらに、フィッシングはランサムウェア攻撃の入り口として機能し、金融資産や機密情報の不必要な損失につながるだろう。
結論
こうした脅威に対抗するには、プロアクティブな戦略が不可欠である。継続的なトレーニングや意識向上プログラムから、AIを活用した高度なメールフィルターやフィッシング対策ツールまで、リスクを軽減するためにいくつかの対策を講じることができます。DMARCを導入することは、進化するフィッシングの脅威から保護する素晴らしい方法です。 お問い合わせ今すぐお問い合わせください!
- フィッシング攻撃強化における口実詐欺の台頭- 2025年1月15日
- 2025年からDMARCがペイメントカード業界に義務付けられる- 2025年1月12日
- NCSCのメールチェックの変更と英国公的機関のメールセキュリティへの影響- 2025年1月11日