TokyoBlackHatNews

securityweek.com 4分で読了

AIがフィッシングを強化中:対抗する方法

フィッシングは、今日のサイバー脅威の状況において最も広範かつ効果的な戦術、技術、手順(TTP)の一つであり続けています。これはしばしば、組織や個人の双方に壊滅的な結果をもたらすデータ侵害への入り口となります。例えば、航空宇宙・防衛の大手企業であるGeneral Dynamicsは、2024年末に、従業員を標的としたフィッシング攻撃によって、脅威アクターが数十件の従業員福利厚生アカウントに不正アクセスしたと報告しました。

人間の心理や信頼を悪用することで、フィッシング攻撃はしばしば技術的な防御をすり抜け、大規模なサイバーインシデントへの道を開きます。2025年版Verizon Businessデータ侵害調査レポート(PDF)によると、フィッシングはサイバーセキュリティインシデントの16%を占めています。22%の認証情報の悪用と20%の脆弱性の悪用のみがフィッシングを上回りました。ZscalerのThreatLabz 2025フィッシングレポートでは、フィッシング全体の件数が20%減少したものの、攻撃者は人事、IT、財務、給与部門を狙った高度にターゲット化されたキャンペーンへとシフトしています。

さらに、フィッシングはもはやメール受信箱だけにとどまりません。攻撃は今やソーシャルメディア、検索エンジン、メッセージングアプリなど、メール以外のチャネルでも発生しています。もはや文法やスペルの誤りだけでは悪意あるメッセージを見抜くことはできません。サイバー犯罪者はAI(人工知能)を駆使し、極めて個別化され、拡張性が高く、正規の通信に見える説得力のあるフィッシングキャンペーンを作成しています。

この次世代のフィッシングは、これまで以上に速く、賢く、そして危険です。サイバー犯罪者は常に、信頼を築き、緊急性を作り出し、感情を利用することで心理的操作に頼ってきました。AIは今、その戦略を以下の方法で強化しています:

  • ソーシャルメディア、漏洩データベース、ダークウェブから収集した個人情報や行動データを使った、極めて個別化されたメッセージ
  • 完璧に洗練された文法とトーンで、よくある警告サインを排除
  • メール、SMS、コラボレーションツールを横断し、同僚や経営者を装う自動化された動的な会話

かつては手作業と時間を要したフィッシングも、今では大規模に展開可能です。脅威アクターは何千もの個別攻撃を瞬時に仕掛けることができます。

フィッシングの新たなフロンティア

AI駆動型フィッシングの効果を加速させている要因はいくつかあります:

  • LinkedInが従来のセキュリティ制御を回避:LinkedInのダイレクトメッセージは、多くの組織が依存しているメールセキュリティツールを完全に回避できます。従業員は企業デバイスでLinkedInにアクセスしますが、セキュリティチームはこれらの通信を把握できないことが多いです。したがって、攻撃者は従来のセキュリティ対策を回避して直接従業員に接触できます。
  • リアルタイムななりすまし:AIは、経営者をライブ通話で本物そっくりに模倣するディープフェイク音声を生成できます。AI生成の動画は、リーダーがバーチャル会議で不正な送金承認や機密情報の要求をしているように見せかけることも可能です。リモートワークが広がる中、こうしたなりすまし攻撃は従業員にとって極めて見抜きにくくなっています。
  • マシンスピードでのビジネスメール詐欺(BEC):侵害されたアカウントを使い、AIツールが従業員と動的かつ複数段階の会話を行えます。攻撃者は社内の業務フローや請求サイクル、承認構造を分析し、金融詐欺の試みを極めて信じやすいものにします。自動化により、攻撃者はこれまでより長く潜伏可能です。

AIによるフィッシングは、もはやログイン情報の窃取だけにとどまりません。今や継続的なID搾取を可能にし、根本的なサイバーセキュリティの課題を生み出しています:

  • AI生成の文書や合成IDが脆弱な認証をすり抜ける
  • 不正なオンボーディングによって、正規に見える形で機密システムへのアクセスが得られる
  • 一度侵入すれば、攻撃者はAIを使ってラテラルムーブメントや権限昇格を自動化できる

最終的に、IDこそが新たな戦場であり、AIはサイバー犯罪者を極めて効率的なID窃盗者へと変貌させています。

組織が取るべき対抗策

AIを装備した敵に対抗するには、戦略の転換が必要です。組織は以下を実施しなければなりません:

  • フィッシングメールの検出だけでなく、アクセスパターンの異常も見抜ける高度なID脅威検知・リスク軽減ツールを導入する
  • パスワードやSMSコードだけに頼らず、生体認証や所有物連動型認証など、適応型かつフィッシング耐性のある認証を利用する
  • 現代のAI駆動型攻撃手法を反映した模擬訓練を用いて、従業員教育を継続的に行う
  • 認証情報が侵害された際の被害を最小限に抑えるため、ゼロトラストアクセス原則を導入する

AIはサイバー犯罪者に、まるでフォーチュン500企業規模のマーケティング部門のような活動能力を与えました——ただし彼らの商品はアカウント乗っ取り、データ窃取、ID詐欺です。正規と悪意ある通信の境界は今後も曖昧になり、従来の防御策はますます効果を失っていくでしょう。

先手を打つには、IDこそが今や最も価値があり、最も脆弱な標的であることを認識する必要があります。防御戦略を現代化し、フィッシング耐性のあるID保護を導入することでのみ、AI駆動型の次なる脅威の波を上回ることができるのです。

翻訳元: https://www.securityweek.com/ai-is-supercharging-phishing-heres-how-to-fight-back/

ソース: securityweek.com
#2024 presidential campaign #2025年サイバーセキュリティ #2FAフィッシング #BEC(ビジネスメール詐欺) #アイデンティティ盗難保護 #サイバー攻撃対策 #ゼロトラスト #ソーシャルエンジニアリング #ディープフェイク #多要素認証(2FA)

関連記事

トランプ大統領、最先端AIモデルの国家安全保障リスク審査を求める大統領令に署名

サイバーセキュリティの深刻化する危機に関する2つの新レポート、異なる見解を提示

スクープ:たった1行のコードが、Microsoft Androidアプリ数十億ダウンロードをリスクにさらした経緯