AI対詐欺: フィッシング戦術の新時代の幕開け

AI対詐欺: フィッシング戦術の新時代の幕開け

社会が人工知能の時代に入り、機械が生活のほぼあらゆる側面に浸透する中、攻撃者が AI をどの程度悪用できるかは依然として不明です。

攻撃者が生成 AI をどのように悪用するかをより深く理解するために、IBM X-Force チームは、「現在の生成 AI モデルは人間の心と同じ欺瞞能力を持っているのか?」という重要な疑問に光を当てる研究プロジェクトを実施しました。

次のようなシナリオを想像してみてください。AI がフィッシング戦争で人間と戦っています。研究者の目標は、組織を標的としたフィッシングシミュレーションでどの競合他社がより高いクリックスルー率を達成できるかを判断することでした。

研究者たちは、たった 5 つの簡単なプロンプトだけで、生成 AI モデルを騙して、わずか 5 分で非常に説得力のあるフィッシング メールを作成できたことが判明しました。通常、インフラストラクチャの設定を考慮に入れずに、研究チームがフィッシング メールを作成するのに約 16 時間かかります。そのため、攻撃者は生成 AI モデルを使用することで、約 2 日間の作業を節約できます。

AI が生成したフィッシングは非常に説得力があり、経験豊富なソーシャル エンジニアが作成したフィッシングにほぼ勝るか同等であり、これは重要な前進です。

次に、AI プロンプトの作成方法、テスト方法、そしてこれが現在および将来のソーシャル エンジニアリング攻撃にどのような意味を持つのかについて詳しく説明します。

第1ラウンド: 機械の台頭

一方で、研究者たちは AI ツールを使用して、非常に巧妙で説得力のある物語を盛り込んだフィッシング メールを生成しました。

プロンプトを作成

研究者たちは、実験と改善の体系的なプロセスを通じて、ChatGPT が特定の業界セクターをターゲットにしたフィッシング メールを生成するための 5 つのプロンプトのセットを設計しました。

まず、研究者は ChatGPT に、これらの業界の従業員が抱える主な懸念事項を詳しく尋ねるように依頼しました。研究者は、業界と従業員の懸念を優先した後、電子メールでのソーシャルエンジニアリングとマーケティング手法の使用に関して ChatGPT に戦略的な選択を行うよう促しました。これらの選択は、より多くの従業員が電子メール自体のリンクをクリックする可能性を最適化するように設計されています。次に、ChatGPT の送信者が誰であるかを尋ねるプロンプトが表示されます (例: 社内の誰か、ベンダー、外部組織など)。最後に、研究者はフィッシングメールを作成するために ChatGPT に次の機能を追加するよう依頼しました。

1. ヘルスケア業界の従業員が最も関心のある分野:キャリア開発、雇用の安定性、達成感など。

2. 使用すべきソーシャル エンジニアリング手法: 信頼、権威、社会的証明。

3. 使用すべきマーケティング手法: パーソナライゼーション、モバイル最適化、行動喚起。

4. 個人または企業:社内人事マネージャー。

5. 電子メールの生成: 上記のすべての情報を考慮して、ChatGPT は次の編集済み電子メールを生成しました。この電子メールは後に IBM X-Force チームによって 800 人を超える従業員に送信されました。

AI対詐欺: フィッシング戦術の新時代の幕開け

ソーシャルエンジニアリングで10年近くの経験を持ち、何百ものフィッシングメールを作成した専門家は、AIによって生成されたフィッシングメールは非常に説得力があると語った。実際、当初この研究プロジェクトへの参加に同意した 3 つの組織のうち、2 つの組織は 2 通のフィッシング メールを確認した後、メールの内容が期待に沿わなかったため、参加を完全に中止しました。プロンプトが示すように、この調査に参加している組織は、現在最もターゲットとなっている業界の 1 つである医療業界に属しています。

攻撃者の生産性の向上

研究チームがフィッシングメールを作成するのに約16時間かかりますが、AIフィッシングメールは生成に5分しかかからず、プロンプトも5つだけのシンプルなものとなっています。

第2ラウンド: 人間化

一方、X-Force は経験豊富なレッドチームのソーシャルエンジニアを派遣しました。ソーシャル エンジニアは、創造性と少しの心理学を駆使して、ターゲットの個人的な心に響くフィッシング メールを作成します。人間的要素が加わることで、再現が難しいレベルの信憑性が加わります。

ステップ1: OSINT

ソーシャル エンジニアのフィッシング手法は、常にオープン ソース インテリジェンス (OSINT) を取得する初期段階から始まります。 OSINT とは、公開されている情報を取得し、その後厳密に分析して、ソーシャル エンジニアリング キャンペーンを展開するための基礎リソースとして使用することです。特に、X-Force の OSINT データ リポジトリには、LinkedIn、組織の公式ブログ、Glassdoor などのプラットフォーム、その他多数のソースが含まれています。

OSINT イベント中、X-Force のソーシャル エンジニアは、最近開始された従業員ウェルネス プログラムについて詳しく説明しました。このプログラムは、Glassdoor で従業員から肯定的なレビューを受けており、その有効性と従業員満足度が実証されています。さらに、LinkedIn を通じてこのプロジェクトの管理を担当する個人を特定しました。

ステップ2: メールの作成

X-Force のソーシャル エンジニアは、OSINT フェーズで収集されたデータを使用して、フィッシング メールを慎重に作成するプロセスを開始しました。ソーシャル エンジニアは、信頼性と親近感を高めるために、最近完了したプロジェクトにリンクする正規の Web サイトも含めました。

説得力を高めるために、ソーシャルエンジニアは「人工的な時間制限」を導入することで、緊急性を意識させる要素を戦略的に取り入れます。調査員らは、調査は「5つの短い質問」のみで構成されており、回答には「数分」しかかからず、締め切りは「今週の金曜日」であると回答者に伝えた。この思慮深いフレーミングは、受信者の時間の使用を最小限に抑えることを強調し、フィッシング手法の非侵入的な性質を強化します。

アンケート調査をフィッシングの口実として利用することは、危険信号と見なされたり、単に無視されたりすることが多いため、リスクを伴うことがよくあります。しかし、事前に収集されたデータを考慮すると、ソーシャルエンジニアは、潜在的なメリットが関連するリスクを上回る可能性があると考えています。

以下の編集されたフィッシング メールは、世界的な医療機関の 800 人を超える従業員に送信されました。

AI対詐欺: フィッシング戦術の新時代の幕開け

チャンピオン: 人類は僅差で勝利しました!

徹底的な A/B テストの結果は明らかでした。人間が勝利しましたが、その差はごくわずかでした。

AI対詐欺: フィッシング戦術の新時代の幕開け

人間が作成したフィッシングメールは AI を出し抜くことに成功しましたが、接戦となりました。理由は次のとおりです。

感情的知性: 人間は人工知能が夢にも思わないような方法で感情を理解します。人間は、心の琴線に触れ、よりリアルに聞こえる物語を紡ぐことができ、受信者が悪意のあるリンクをクリックする可能性が高くなります。たとえば、人間は組織内の正当な例を選択しましたが、AI は人間が作成したフィッシング メールの信頼性を高めるために、幅広い件名を選択しました。

パーソナライゼーション: 電子メールの冒頭に受信者の名前を含めることに加えて、ヒューマンエンジニアは正当な組織への参照も提供し、従業員に具体的な利点を提供します。

短くてわかりやすい件名: 人間が作成したフィッシング メールの件名は短くてわかりやすいもの (従業員の健康調査) ですが、AI が作成したフィッシング メールの件名は非常に長く (Unlock Your Future: Path to Promotion at Company X)、従業員がメールを開く前から疑惑を抱かせてしまう可能性があります。

さらに、AI が生成したフィッシングは人間に見つからないだけでなく、疑わしいものとして報告される割合も高くなっています。

AI対詐欺: フィッシング戦術の新時代の幕開け

結論: 未来を垣間見る

X-Force は現在のキャンペーンで生成 AI を大規模に使用していませんが、無制限または半制限付き LLM 用に構築された WormGPT などのツールが、フィッシング機能を宣伝するさまざまなフォーラムで販売されていることが見られ、攻撃者がフィッシング キャンペーンで AI の使用をテストしていることを示唆しています。

制限されたバージョンの生成 AI モデルでも、簡単なプロンプトでフィッシング メールを作成できますが、これらの制限のないバージョンでは、攻撃者が高度なフィッシング メールを拡張するためのより効果的な方法を提供する可能性があります。

人間はわずかな差でこの競争に勝ったかもしれませんが、AI は継続的に改善されており、ご存知のように、攻撃者は常に適応し、革新を続けています。今年だけでも、AI が生成した音声クローンを使用して人々を騙し、金銭やギフトカードを送らせたり、機密情報を漏らさせたりする詐欺師が増加しています。

感情操作や説得力のあるメールの作成に関しては、人間が依然として優位に立っているかもしれませんが、フィッシングにおける AI の登場は、ソーシャル エンジニアリング攻撃にとって極めて重要な瞬間を示しています。

企業と消費者が準備すべき 5 つの重要な推奨事項を以下に示します。

1. 疑わしい場合は、送信者に電話する: 電子メールが正当なものかどうか疑わしい場合は、電話をかけて確認してください。フィッシングや AI による電話詐欺が発生した場合に備えて、親しい友人や家族と安全なコードを設定することを検討してください。

2. 文法上の固定観念を捨てる: フィッシング メールには間違った文法やスペルの間違いがたくさんあると思い込まないでください。 AI を利用したフィッシング攻撃はますます巧妙化し、文法的にも正確になっています。だからこそ、スタッフを再教育し、文法上の誤りがもはや大きな危険信号ではないことを強調することが重要です。代わりに、電子メールの内容の長さと複雑さに注意するようにトレーニングする必要があります。メールが長い場合、AI によってテキストが生成されたことを示す兆候であることが多く、警告サインとなる場合があります。

3. ソーシャル エンジニアリング プログラムを改善する: これには、実行が簡単で、多くの場合非常に効果的な、フィッシングなどの手法をトレーニング プログラムに導入することが含まれます。 X-Force のレポートによると、電話番号を追加した標的型フィッシング キャンペーンは、電話番号を追加しないキャンペーンよりも 3 倍効果的でした。

4. アイデンティティとアクセス管理の制御を強化する: 高度なアイデンティティ アクセス管理システムは、誰がどのデータにアクセスしているか、適切な権限を持っているかどうか、そして本人であるかどうかを確認するのに役立ちます。

5. 継続的に適応し、革新する: 人工知能の急速な発展は、サイバー犯罪者が戦術を改良し続けることを意味しており、私たちは継続的に適応し、革新するという考え方を維持する必要があります。内部の TTPS、脅威検出システム、従業員のトレーニング資料を定期的に更新することは、悪意のある攻撃者の一歩先を行くために重要です。

結論

フィッシング攻撃における人工知能の出現により、私たちはサイバーセキュリティへのアプローチを再評価する必要に迫られています。これらの推奨事項を採用し、進化する脅威に対して警戒を怠らないことで、ダイナミックなデジタル時代における防御を強化し、ビジネスを保護し、データと人々を安全に保つことができます。

記事の翻訳元: https://securityintelligence.com/x-force/ai-vs-human-deceit-unravelling-new-age-phishing-tactics/ 転載する場合は、元のアドレスを明記してください。

<<: 

>>:  IGN は拡散モデルに終止符を打ち、ワンステップでリアルな画像を生成します。カリフォルニア大学バークレー校のGoogleがLLMを革新、アメリカのテレビシリーズがインスピレーションの源に

ブログ    

推薦する

額をタップして入力できる。Googleエンジニアの「帽子型キーボード」は数え切れないほどのファンを魅了。自分で作ることもできる

キーボードと帽子を組み合わせたらどうなるでしょうか?冗談はさておき、Google 日本支社のエンジニ...

過去10年間のデータ分析と人工知能の7つの災害のレビュー

2017年、『エコノミスト』誌は、石油ではなくデータが世界で最も価値のある資源になったと宣言し、この...

人工知能が裁判官の判断に取って代われば、司法権は誤った方向に導かれる可能性がある

近年、社会構造の転換と国民の権利意識の強化に伴い、中国の裁判所が受理する事件の規模は毎年二桁増加し、...

...

Mamba 論文が ICLR に受け入れられなかったのはなぜですか? AIコミュニティは盛り上がっている

2023年、大規模AIモデルの分野におけるTransformerの優位性が揺らいだ。この挑戦のきっか...

シリコンバレーの人工知能専門家:人類は20年以内に老化の束縛から解放されるかもしれない

現在、世界最高齢の人は、ギネス世界記録に認定された118歳の日本人老人、田中カネさんです。田中選手の...

NLP の学習を始める準備ができました。体系的に読むべき本やコースは何ですか?

私は、機械学習コミュニティで手動の特徴エンジニアリングが非常に人気があった 2013 年から自然言語...

...

自律飛行ロボットが浙江大学から集団で飛び立ち、サイエンス誌の表紙に登場

最近、浙江省安吉市の竹林で、一群の超小型知能ドローンが集団で派遣され、ジャングルの中を楽々と移動した...

人工知能が司法裁判に影響を与えている!人間と機械のコラボレーションが標準になるかもしれない

【CNMOニュース】科技日報によると、「中国裁判所情報化発展報告第5号(2021年)」がこのほど正...

今日のビジネスにおける自然言語処理の 8 つの応用

自然言語処理がどのようにビジネス最適化の実現手段へと進化しているかを学びます。 AI ベースのツール...

人類はついに怠惰なAIを生み出してしまった…

強化学習 (RL) の概念を説明する記事は多数ありますが、現実世界で RL を実際に設計して実装する...

効果はGen-2を超えます! Byte の最新ビデオ生成モデルは、一文でハルクに VR メガネをかけさせます

一言で言えば、ハルクに VR メガネをかけさせるのです。 4K品質。パンダのファンタジーの旅これは、...

Yunqi CapitalのChen Yu氏:AI投資家を惹きつけてターゲットにする方法

[51CTO.comより引用] 2017年7月21日から22日まで、51CTO主催の人工知能をテーマ...

APP がアルゴリズムにこだわっているとき、パーソナライズされたカスタマイズを通じて「自分自身」を理解できるでしょうか?

アルゴリズムによる推奨が普及している今日の世界では、あなたよりもあなたのことをよく知っているのは、あ...