次世代フィッシング：AIヴィッシング詐欺の台頭

サイバーセキュリティでは、AIがもたらすオンライン脅威は、世界中の個人や組織に重大な影響を及ぼす可能性があります。伝統的なフィッシング詐欺は、AIツールの悪用を通じて進化し、毎年、頻度、複雑さ、検出の難易度が増しています。AIヴィッシングは、これらの進化する技術の中で最も懸念されるものです。

AIヴィッシングとは何か

AIヴィッシングは、ボイスフィッシング（ヴィッシング）の進化形で、攻撃者が信頼できる個人、たとえば銀行担当者やテクニカルサポートチームを装い、被害者を操作して、資金の転送やアカウントへのアクセスを許可するように仕向けます。

AIは、声のクローニングやディープフェイクなどの技術を使用してヴィッシング詐欺を強化し、攻撃者はAIを使用して電話呼び出しや会話を自動化し、短時間で多くの人を標的にすることができます。

現実世界でのAIヴィッシング

攻撃者は、AIヴィッシング技術を無差別に使用し、弱い個人から企業まで標的にしています。これらの攻撃は非常に効果的であり、2023年から2024年にかけて、ヴィッシングによる被害に遭ったアメリカ人の数は23%増加しました。この状況を理解するために、過去数年間に発生したいくつかの高プロファイルのAIヴィッシング攻撃を紹介します。

イタリアのビジネス詐欺

2025年初め、詐欺師は、イタリアの国防大臣、グイド・クロセットを模倣するためにAIを使用し、イタリアの著名なビジネスリーダー、たとえばファッションデザイナーのジョルジョ・アルマーニやプラダの共同創設者パトリツィオ・ベルテッリを標的にしました。

クロセットを装った攻撃者は、中東で誘拐されたイタリア人ジャーナリストの解放のために緊急の財政支援が必要であると主張しました。この場合、標的となったのはマッシモ・モラッティ、インテル・ミラノの元オーナーだけであり、警察は盗まれた資金を回収することができました。

ホテルと旅行会社が攻撃を受ける

ウォール・ストリート・ジャーナルによると、2024年第四四半期には、ホテルと旅行業界に対するAIヴィッシング攻撃が大幅に増加しました。攻撃者は、旅行代理店や企業幹部を装い、ホテルのフロントデスクスタッフをだまして、機密情報を漏らしたり、システムへの不正アクセスを許可したりしました。

彼らは、忙しい時間帯に顧客サービス担当者に、悪意のある添付ファイルを含むメールまたはブラウザを開くように指示しました。ホテルが協力するパートナーをAIツールで模倣できるため、電話詐欺は「恒久的な脅威」とみなされました。

ロマンス詐欺

2023年、攻撃者は、AIを使用して家族の声を模倣し、高齢者から約20万ドルを詐取しました。詐欺電話は、特に高齢者にとって、検出が難しいですが、電話の向こう側の声が家族とまったく同じ場合、ほぼ検出不可能です。2年前に発生したこの事件において、AIの声のクローニングはさらに高度化しています。

AIヴィッシングとしてのサービス

AIヴィッシングとしてのサービス（VaaS）は、過去数年間にAIヴィッシングの成長に大きな貢献をしています。これらのサブスクリプションモデルには、スプーフィング機能、カスタムプロンプト、適応型エージェントが含まれており、悪意のある行為者が大規模なAIヴィッシング攻撃を実行できるようになりました。

フォートラでは、AIヴィッシングとしてのサービスの主要プレイヤーであるプラグバレーを追跡しています。これらの努力により、脅威グループと、より重要なことに、ヴィッシング攻撃がどれほど高度で複雑になったかを理解することができました。

プラグバレー：AI VaaSの内部

プラグバレーのヴィッシングボットは、潜在的な被害者を操作するために、現実的なカスタマイズ可能な声を展開することができます。ボットはリアルタイムで適応し、人間の話し方のパターンを模倣し、発信者IDをスプーフィングし、電話会話にコールセンターの背景ノイズを追加することができます。AIヴィッシング詐欺を可能な限り信憑性の高いものにします。これにより、サイバー犯罪者は銀行の資格情報やワンタイムパスワード（OTP）を盗むことができます。

プラグバリーは、サイバー犯罪者に対して技術的な障壁を除去し、ボタン1つで大規模な詐欺技術を提供します。月額料金はわずかです。

プラグバレーのようなAI VaaSプロバイダーは、詐欺だけを行っているのではなく、フィッシングを産業化しています。彼らは、社会工学の最新の進化を表し、サイバー犯罪者が機械学習（ML）ツールを活用して、人々を大量に搾取することを可能にします。

AIヴィッシングからの保護

AI駆動の社会工学技術、たとえばAIヴィッシングは、将来さらに一般的、効果的、複雑になる予定です。したがって、組織は、従業員の認識トレーニング、強化された詐欺検出システム、リアルタイムの脅威インテリジェンスなどのプロアクティブな戦略を実施することが重要です。

個人的なレベルでは、次のガイダンスはAIヴィッシングの試みを識別および回避するのに役立ちます。

• 不明な電話に注意： 怪しい電話、特に個人または財務情報を要求する電話に注意してください。正当な組織は通常、電話で機密情報を要求しません。 ​
• 発信者の身元を確認： 発信者が既知の組織を代表することを主張する場合、公式の連絡先情報を使用して直接組織に連絡し、身元を確認してください。 ​WIREDは、ヴィッシング攻撃から家族を守るために、家族と共有する秘密のパスフレーズを作成することを提案しています。
• 情報の共有を制限： 不明な電話での個人または財務情報の共有を避けてください。緊急性や悪影響の脅しを生み出す場合には特に注意してください。 ​
• 自分自身と他人を教育： 共通のヴィッシング戦術について学び、知識を友人や家族と共有してください。認識は、社会工学攻撃に対する重要な防御です。​
• 疑わしい電話を報告： 関連する当局または消費者保護機関にヴィッシングの試みを報告してください。報告は、詐欺活動を追跡および軽減するのに役立ちます。

すべての兆候から判断して、AIヴィッシングはここに留まるようです。実際、ボリュームと実行の両方で継続的に増加する可能性があります。ディープフェイクの普及とサービスとしてのモデルの採用の容易さにより、組織は、ある時点で攻撃の標的になることを予想する必要があります。

従業員の教育と詐欺検出は、AIヴィッシング攻撃の準備と防止に重要です。AIヴィッシングの高度さは、熟練したセキュリティ専門家さえも、信憑性のある要求や物語を信じるように仕向ける可能性があります。したがって、AIフィッシングのリスクを軽減するために、技術的な安全対策と一貫して情報に基づいた警戒性の高い労働力を統合する、包括的で階層化されたセキュリティ戦略が不可欠です。