AIは人間よりも説得力のあるフィッシングメールを作成できるか？

自然言語処理と高度な翻訳機能により、生成的なAIはハッカーにとって無価値なツールとなります。AI生成のフィッシングメールは、人間が生成したスキャムコンテンツよりも危険ではないかもしれません。ユーザーとセキュリティプロフェッショナルは、フィッシングとサイバー攻撃におけるAIの役割について何を知るべきか?

AIがフィッシングメールを書く方法

報告されたフィッシングコンテンツ は2021年から2022年にかけて61%増加しました。悪意のあるURLからメールスキャムまで、フィッシングは毎年より多く発生しています。AIは、ハッカーがフィッシングキャンペーンを進めるために採用している最新のツールです。AIの自然言語処理は有益ですが、ハッカーはそれを利用してより効果的なフィッシングコンテンツを作成できます。

AI-as-a-Serviceプラットフォームの利用可能性、例えばChatGPTにより、誰でもコンテンツを生成できるようになりました。ハッカーは、AIの大規模言語モデルに数千の正当なメールの例を見せ、オリジナルのメールを作成するように依頼できます。自然言語処理（NLP）により、AIは現実的な書き込みコンテンツを理解して再現することができます — フィッシング攻撃に完璧なツールです。

理想的には、AIは人間が書いたメールと同じオリジナルのメールを生成します。ハッカーは、特定の会社、人物、または場所の詳細を含むようにメッセージをカスタマイズするよう依頼できます。AIは、メッセージを別の言語に翻訳することもできます。ハッカーは、数秒で完全にオリジナルのパーソナライズされたフィッシングメールを作成できます。これにより、ハッカーは、1つの悪意のあるメールを多くのターゲットで回すのをやめることができます。

AI生成のフィッシングメールは効果的か？

AIパワードのフィッシングの可能性は脅威的に聞こえるかもしれませんが、人間が作成したフィッシングコンテンツよりも危険ですか？AI生成のフィッシングメールの利点は、主にハッカーのワークフローをより効率的にすることです。

初期の研究では、AI生成のフィッシングメール は人間が生成したフィッシングメールと同等の説得力があることが示されています。ハッカーは、AI-as-a-Serviceプラットフォームへのアクセスが制限されています。大手開発者 — OpenAIを含む — は、AIモデルを違法に使用するのを防ぐためのセーフガードを持っています。

ハッカーにとってAIの主な利点は、効率と言語です。AIを使用してスキャムメールを生成することは、手動で書き出すよりも速いので、ハッカーはより多様なフィッシングメールを作成できます。さらに、世界中のどこにいる被害者でもターゲットにすることができます。NLP機能を持つAI翻訳ツールが簡単にアクセスできるためです。

したがって、AI生成のフィッシングメールはフィッシング攻撃のリスクを増大させる可能性がありますが、必ずしも人間が生成したコンテンツよりも説得力があるわけではありません。

AI生成のフィッシングから守る方法

AIはハッカーにとって有用なツールですが、万能ではありません。セキュリティ技術とユーザーは、フィッシング攻撃が賢くなるにつれて、防御戦略を進化させることができます。ユーザーは、フィッシングコンテンツの危険信号について最新情報を入手することから始めるべきです。これらはAI生成のメールでも関係します。

フィッシングメールを一目で検出することは難しくなるかもしれませんが、特定のセキュリティ対策により、フィッシングが損害を与える可能性を最小限に抑えるか、排除することができます。さらに、新しい検出技術により、AIと人間によって書かれた悪意のあるメールの両方を検出できます。

クラウドストレージに切り替える

クラウドストレージに切り替えることは、フィッシングメールとサイバー攻撃の脅威を最小限に抑えるための優れた方法です。従来のデータストレージの孤立した性質により、ハッカーの被害を受けやすくなります。ハッカーは、ハードドライブまたはサーバーの1つを制御するだけで、誰かのすべてのデータを人質に取ることができます。

クラウドストレージはこの脅威を回避します。データは特定のデバイスに結び付けられていないため、ハッカーがデータを削除または破損することは非常に難しくなります。クラウドベースのサイバーセキュリティにより、ハッキングの試みに対する耐性も向上します。

例えば、ユーザーは クラウドセキュリティの脆弱性を自動的にスキャンして、クラウドセキュリティの弱点を見つけることができます。これは、ハッカーがバックドアまたは盗まれた資格情報を使用してクラウドのデータにアクセスするのを防ぐのに役立ちます。クラウドストレージは分散されているため、データを完全に制御することは困難です。

独自の検証システムを作成する

フィッシングメッセージを防ぐためのDIYソリューションは、信頼できる関係者間でコードシステムを確立することです。これには、家族、友人、同僚などが含まれます。グループ内の誰かがメールを送信するたびに、コードフレーズを含めることで、メッセージが実際に彼らから送信されたことを検証できます。

このコードシステムは複雑になる必要はありません。アイデアは、ハッカーまたはAIが事前に信頼性を持って知ることができない要素を追加することです。コードフレーズは、AIのトレーニングメールで一般的に見られるものとは考えにくい、不思議なものにしましょう。

例えば、コードは「Agloe、ニューヨーク」という名前の幻の入植地になります。幻の入植地は、メールで頻繁に表示されることはないため、AIのトレーニングメールではほとんど見られません。なぜなら、それらは単にコピー権のために地図に追加された架空の場所だからです。

AIフィッシング検出を使用する

ハッカーだけがAIを使用して手法を革新しています。ユーザーとセキュリティプロフェッショナルは、フィッシングコンテンツを検出するためにAIモデルを利用できます。人間が書いたものかAIが書いたものかは関係ありません。

例えば、開発者は機械学習を使用して 正当なメールの相互通信パターンを監視および追跡できます。AIが個人のユニークなコミュニケーションスタイルを迅速に学習できる場合、個人が書かなかったメールを認識できます。これは、メールが人間によって書かれたかAIによって書かれたかに関係なく適用されます。

AIパワードフィッシングの最大の強みは、同時に最大の弱点でもあります。ハッカーはAIを使用して信憑性のある偽のメールを作成できますが、コミュニケーションスタイルを効率的にパーソナライズすることはできません。ハッカーは、特定の個人の書き込みスタイルを正確に複製するために必要な技術的な専門知識やリソースを持っていないことが多いです。フィッシング検出AIモデルは、この弱点を利用してユーザーを守ることができます。

AIパワードフィッシングのリスクを理解する

AIは、フィッシングメールを作成するためのハッカーにとって貴重なツールとなります。ただし、AI生成のメールは、人間が生成したフィッシングコンテンツよりも必ずしも説得力があるわけではありません。フィッシングの主な危険信号 — 急いで行動するよう促すものなど — は、誰がフィッシングメールを作成したかに関係なく、関係します。ユーザーとセキュリティプロフェッショナルは、AIパワードフィッシングキャンペーンからデータを保護するための革新的なテクノロジーとテクニックを採用できます。