AI生成フィッシングは急速にメールリスクを再構築しており、より多くの攻撃がフィルターを通り抜けてユーザーの受信トレイに直接到達しています。ただし、AI生成メールはフィッシング全体の少数派のままです。
人間要因は依然として中心的な役割を担っており、68%の侵害には人が関わっており、そのうち80〜95%がフィッシングで始まり、ソーシャルエンジニアリングが支配的な侵害ベクトルとなっています。
生成AIがメインストリームになって以来、フィッシング量は急増しており、ChatGPTのようなツールと同様の大規模言語モデルがフィッシング活動の4,000%以上の増加を引き起こしていると報告されています。
これらのモデルは、スペルミスや不自然な表現をはぎ取りながら、流暢でローカライズされたコンテキスト対応メールを大規模に生成し、ユーザーが不信に陥るようにしています。
同時に、経済的インセンティブは非常に大きく、フィッシング関連の侵害の平均コストは現在約488万ドルであり、パンデミック以来の年間違い増加としては最大の跳躍を示しています。
2025年フィッシング傾向レポートは、実際の悪質なクリックの世界的発生率とメールフィルターを回避するフィッシング攻撃の最初の参照ポイントを提供します。
従業員は、6か月間で6倍の改善を伴ってソーシャルエンジニアリング攻撃を認識して報告するようにトレーニングでき、組織ごとのフィッシング事件数を86%削減できます。
攻撃者にとって、AIは努力と専門知識を低下させながら利益を高く保つため、ビジネスメール侵害(BEC)、認証情報の収集、マルチチャネルフィッシング(メール、SMS、コラボレーションツール)がすべて増加しています。
AI駆動型フィッシング攻撃
Hoxhuntの2025年フィッシング傾向データは、メールフィルターを回避するフィッシングが2022年以来急激に上昇していることを示しており、ユーザーに到達する攻撃の上昇はほぼ50%ですが、2024年はフィルターが適応したため成長は鈍化しました。
レポートは、開始から200日以内に検出・封じ込められた侵害とその後に検出・封じ込められた侵害の間に120万ドルのコスト差があることが判明しました。
検出エンジンは依然としてドメイン、URL、添付ファイルタイプなどの静的インジケーターに大きく依存していますが、攻撃者は評判の高いファイル共有プラットフォーム、リダイレクトサービス、HTTPS保護されたページなどの信頼できるインフラストラクチャを悪用して正当に見えるようにしています。
AIは攻撃者がコンテンツと構造を微妙に変更するのを支援し、各メールが異なる多型フィッシング波を作成し、署名効果を低下させ、評判ベースのブロックをより困難にしています。
しかし、数十万もの実際の悪質なフィッシングメールの分析に基づいて、2024年にメールフィルターを回避したフィッシングのうち5%未満のみがAI作成と自信を持って識別され、従来のフィッシングキットとプレイブックが現在も広く使用されていることを強調しています。
業界全体で、1,000人の組織の従業員は、技術的管理を回避するフィッシングメールが1年間に数千件に達する可能性があり、ベースラインの認識トレーニングのみが実施されている場合、「悪質なクリック」が数百件発生します。
金融、人事、ITの高価値職務は優先的なターゲットです。これらは金銭、アクセス、システムを制御し、BEC、給与リダイレクト、請求書詐欺計画で頻繁に偽装されているためです。
信頼できるブランドとサービスの偽装(Microsoft、ドキュメント署名ツール、郵便および税務当局)は非常に効果的です。ユーザーはアカウント、給与、またはコンプライアンスプロンプトに迅速に対応するようにコンディショニングされているためです。
金融サービスなどの業界は、集中的なトレーニングの後、報告率が最も高く、失敗率が最も低いことを示しています。一方、医療や小売などの多くの前線労働者を持つセクターは、スクリーン時間が限られており、運用上の圧力が高いため、遅れることが多いです。
行動はまた国および文化全体で異なり、一部の地域では、何かが疑わしいことに気付いても、疑わしいメールを報告する傾向が低い「ミス」率が高くなっています。
トレーニング前に、ユーザーの34%のみがこれらのフィッシングシミュレーションを正常に報告していますが、懸念すべきことに11%は添付ファイルを開くか悪質なリンクをクリックして失敗します。
大規模なフィッシングシミュレーションと実際の報告からのデータは、行動に焦点を当てた適応型トレーニングが、洗練されたまたはAI生成ルアーに対してもクリック率を劇的に削減できることを確認しています。
四半期ごとのチェックボックストレーニングを超えて頻繁でカスタマイズされたシミュレーションに移行するプログラムは、報告率をシングルディジットまたは約20%から1年以内に60%以上に上昇させ、失敗率(クリック)をシナリオがより困難になっても約3%以下に低下させます。
この変化は単なる理論的なものではありません。高いエンゲージメントと迅速な報告を伴う組織は、配信とユーザー報告の間の遅延である応答時間を短縮し、セキュリティチームが数日ではなく数分でアクティブなキャンペーンを受信トレイから削除できるようにします。
最新のメールセキュリティ管理と組み合わせると、この人間の「センサーネットワーク」はAIがフィルターを通り抜けるのを助けるまさにそのキャンペーンのための重要な検出レイヤーになります。
今、ディフェンダーが行うべきこと
実際のメール環境にあるフィッシング数を計算することは、人間の脅威インテリジェンスを通じて可能です。
メールフィルターを回避するAI生成フィッシングに対抗するため、組織は以下を実行する必要があります。
- 受信トレイを検出表面の拡張として扱い、簡単なクライアント内報告と厳密なSOCワークフローを機器化します。
- 実際の攻撃者のテーマを反映した適応型で役割対応のフィッシングシミュレーション(BEC、QRコード、コラボレーションツール、クラウドログインページ、ディープフェイクスタイルの経営幹部リクエスト)をデプロイします。
- AI駆動型およびマルチチャネルキャンペーンのためにメール防御を継続的に調整し、行動インジケーター、信頼できるサービスの悪用、異常な通信パターンに焦点を当てています。
- 報告率、失敗率、応答時間などのメトリックスをコンプライアンス完了だけでなく、主要な人間リスクKPIとして追跡します。
AIはすでにスケールをフィッシャーに有利に傾けていますが、同じテクノロジーが行動ベースのトレーニングと高速報告と組み合わせると、単一の費用のかかるクリックで始まる実際の事件の数を体系的に削減するために使用できます。
翻訳元: https://gbhackers.com/ai-driven-phishing-attacks-2/
