Alexis Oberは、グローバルサイバーセキュリティソフトウェアおよびサービスプロバイダーのFortraの脅威インテリジェンスアナリストで、詐欺調査および研究分析の豊富な経験を持っています。彼女は、政府および民間組織で働いてきたことから、ヘルスケア部門における詐欺、浪費、および濫用の特定において強い背景を持っています。
サイバーセキュリティでは、AIがもたらすオンライン上の脅威は、世界中の個人や組織に重大な影響を及ぼす可能性があります。伝統的なフィッシング詐欺は、AIツールの悪用を通じて進化しており、毎年その頻度、複雑さ、検出の難しさが増しています。AIヴィッシングは、これらの進化するテクニックの中で最も懸念されるものです。AIヴィッシングとは何かAIヴィッシングは、声によるフィッシング(ヴィッシング)の進化形で、攻撃者が銀行担当者やテクニカルサポートチームなどの信頼できる個人を装い、被害者を資金の転送やアカウントへのアクセス許可などの行動に誘導します。AIは、声の複製やディープフェイクなどの技術を使用して、信頼できる個人の声を模倣します。攻撃者は、AIを使用して電話呼び出しと会話を自動化し、短時間で多数の人をターゲットにすることができます。現実世界でのAIヴィッシング攻撃者は、無差別にAIヴィッシング技術を使用し、弱い個人のみならず、企業も標的としています。これらの攻撃は驚くほど効果的であり、2023年から2024年にかけて、ヴィッシングによる被害に遭ったアメリカ人の数は23%増加しました。この文脈で、過去数年間に発生した最も注目すべきAIヴィッシング攻撃をいくつか探ってみましょう。イタリアのビジネス詐欺2025年初頭、詐欺師は、イタリアの国防大臣、グイド・クロセットを装い、イタリアの著名なビジネスリーダー、ジョルジョ・アルマーニやプラダの共同創設者パトリツィオ・ベルテッリなどを標的としたAIを使用しました。クロセットを装った攻撃者は、中東で誘拐されたイタリア人ジャーナリストの解放のために、緊急の財政支援が必要だと主張しました。この場合、ただ1人の標的、インテル・ミラノの元オーナー、マッシモ・モラッティだけが詐欺に引っかかり、警察は盗まれた資金を回収することができました。ホテルと旅行会社が攻撃を受けるウォール・ストリート・ジャーナルによると、2024年第四四半期には、ホテルや旅行業界に対するAIヴィッシング攻撃が大幅に増加しました。攻撃者は、旅行代理店や企業幹部を装い、ホテルのフロントデスクスタッフを欺き、機密情報を漏らしたり、システムへのアクセスを許可したりしました。彼らは、忙しい時間帯に、顧客サービス担当者に、悪意のある添付ファイルを持つメールやブラウザを開くように指示しました。ホテルが協力しているパートナーをAIツールで模倣できるため、電話詐欺は「常に脅威」であると考えられました。ロマンス詐欺2023年、攻撃者は、AIを使用して家族の声を模倣し、高齢者から約20万ドルを詐取しました。詐欺電話は、特に高齢者にとって、検出が難しいですが、電話の向こう側の声が家族の声とまったく同じに聞こえる場合、それらはほぼ検出不可能です。2年前に起こったこの事件では、AIの声の複製はそれ以来さらに洗練されています。AIヴィッシングとしてのサービスAIヴィッシングとしてのサービス(VaaS)は、過去数年間にわたるAIヴィッシングの成長に大きな貢献をしています。これらのサブスクリプションモデルには、スプーフィング機能、カスタムプロンプト、適応可能なエージェントが含まれており、悪意のある行為者が大規模なAIヴィッシング攻撃を実行できるようになります。Fortraでは、AIヴィッシングとしてのサービス市場の主要プレイヤーであるPlugValleyを追跡しています。これらの努力により、脅威グループについての洞察が得られ、さらに重要なのは、ヴィッシング攻撃がどれほど進化し洗練されているかが明らかになったことです。PlugValley:AI VaaSの内部PlugValleyのヴィッシングボットは、脅威行為者が、被害者を操作するために、現実に近い、カスタマイズ可能な声を展開できるようにします。ボットはリアルタイムで適応し、人間の話し方のパターンを模倣し、発信者IDをスプーフィングし、さらにコールセンターの背景ノイズを音声通話に追加できます。AIヴィッシング詐欺を可能な限り説得力のあるものにします。銀行の資格情報やワンタイムパスワード(OTP)を盗むのを助けます。PlugValleyは、サイバー犯罪者に、手頃な月額料金で、スケーラブルな詐欺技術を提供し、技術的な障壁を除去します。AI VaaSプロバイダーであるPlugValleyのような企業は、詐欺行為を運営しているのではなく、フィッシングを産業化しています。彼らは、最新の社会工学の進化を表し、サイバー犯罪者が機械学習(ML)ツールを武器化し、人々を大量に搾取できるようにします。AIヴィッシングからの保護AI駆動の社会工学技術、たとえばAIヴィッシングは、将来、より一般的、効果的、洗練されたものになる予定です。したがって、組織は、従業員の認識トレーニング、強化された詐欺検出システム、リアルタイムの脅威インテリジェンスなどのプロアクティブな戦略を実施することが重要です。個人的なレベルでは、次のガイダンスは、AIヴィッシングの試みを識別して回避するのに役立ちます: 不明な電話に注意すること: 怪しい電話、特に個人や財務情報を要求する電話には、注意が必要です。正当な組織は、電話で機密情報を求めません。 発信者の身分を確認すること: 発信者が既知の組織を代表することを主張する場合、公式の連絡先情報を使用して直接組織に連絡し、発信者の身分を確認します。 WIREDは、ヴィッシング攻撃から家族を守るために、家族と秘密のパスフレーズを作成することを提案しています。 情報の共有を制限すること: 不明な電話での個人または財務情報の共有を避けます。特に、発信者が緊急性を生み出したり、悪影響を脅かしたりする場合は、注意が必要です。 自分自身と他者を教育すること: 共通のヴィッシング戦術について情報を得て、知識を友人や家族と共有します。認識は、社会工学攻撃に対する重要な防御です。 疑わしい電話を報告すること: 関連する当局や消費者保護機関にヴィッシングの試みを報告します。報告により、詐欺活動を追跡し、軽減することができます。 すべての兆候から見て、AIヴィッシングはここに留まります。実際、量と実行の質が増加する可能性が高いです。ディープフェイクの普及とサービスとしてのモデルによるキャンペーンの採用の容易さにより、組織は、ある時点で攻撃の標的になることを予想する必要があります。従業員の教育と詐欺検出は、AIヴィッシング攻撃の準備と防止に重要です。AIヴィッシングの洗練度は、信頼できる要求や物語を信じ込まされる、十分に訓練されたセキュリティ専門家さえも欺くことができます。したがって、技術的な安全対策と一貫して情報に基づいた、警戒性の高い労働力を組み合わせた、包括的な階層化されたセキュリティ戦略が、AIフィッシングによってもたらされるリスクを軽減するために不可欠です。
