自然な日本語のフィッシングメールが作成され、言葉の壁が崩れる
もう一つ生成AIが悪用される恐れのある領域が、フィッシングや詐欺文面の作成です。
グローバルで見るとフィッシングメールやBECが横行しています。しかしこれまで日本をはじめ、英語以外の言語を母国語とする国は「言語の壁」に守られてきた部分が多分にありました。ところが生成AIは、言語の壁を崩し、ひいてはサイバー攻撃において国境のない世界を作り出す恐れがあります。
例えばこれまで、日本のユーザーをターゲットしたフィッシングのおとり文書である「ルアー」には、攻撃者が正規のサイトやメールのやり取りをコピーしたり、英文でやり取りされていたものを翻訳したりした文章が用いられてきました。
最近はGoogle Translationなどの翻訳ツールが使われるケースも増えていましたが、それでもどこかに不自然なところが残り、決して流暢とは言えない日本語が使われるため、訓練を受けた受信者が違和感を覚え、通報されるケースもよくありました。
しかし、フィッシングルアーの作成に生成AIが用いられると、より自然な文体で、より信憑性の高い詐欺メールの文面が、より大量に、労力をかけずにさまざまなパターンで作り出されてしまいます。日本語を母語とする人物が作成したものと変わらない自然な文章がルアーとして使われ、引っかかってしまう人が増える恐れがあります。
現に、これまで私たちを守ってきた言語の壁が崩れつつある兆候が観測されています。2022年と2023年で過去1年間にBEC攻撃を受けた企業の割合を見ると、日本の上昇率が35%と最も高くなっていました。ちなみに、2番目に上昇したのは韓国(31%)、3番目はUAE(アラブ首長国連邦)(28%)で、日本だけでなく英語以外の言語を母語とする国々でも同様に、生成AIが言語の壁を崩してしまうリスクが高まっています。
相手をだまし、なりすますという観点では、文章だけでなく、映像によるディープフェイクが悪用されるリスクもあり、すでに攻撃も観測されています。攻撃者による生成AIの適用領域はますます広がっていると言えるでしょう。
AIによるサイバー脅威の広がりにはAIを駆使して対策を
このように生成AIは、サイバー攻撃のハードルを大きく下げることで攻撃の速度を加速させ、また攻撃範囲を拡大させる恐れがあります。この先、サンドボックスをはじめとする検知機能を回避するマルウェアにも応用される恐れも指摘されています。
軍事領域では、未熟な兵士でも一様に高度な攻撃を繰り出すことができる兵器を「イコライザー兵器」と呼びます。生成AIがサイバー攻撃者にとってのイコライザー兵器となり、高度な技術を持たない攻撃者でも非常に高度な攻撃を、より広範囲に繰り出せてしまう可能性が高まっています。
もう一つ、私たちは別の側面からも生成AIに注意を払わなければなりません。自社のシステムやサービスで独自のLLM、生成AIを開発する取り組みが始まっていますが、ここで注意が必要です。
安全なLLMアプリケーション開発・利用を実現するための指針を提供する「OWASP AI Top TEN LLM」でも指摘されているとおり、もしその生成AIが汚染されたデータで学習されている場合、使いものにならなくなる恐れがあります。生成AIの登場に伴って、私たちが守るべき領域が増えてきたことも念頭に置かなくてはなりません。
そして、生成AIがもたらしたこうしたリスクに対抗する鍵も、やはり生成AIとなるでしょう。私たち守る側もしっかり生成AIやML(機械学習)といった技術を活用し、脅威の検出や情報の分類、アラートのトリアージ、あるいは脅威やユーザーの振るまい分析といったさまざまな領域に適用していくことが重要です。生成AIを用いたサイバー脅威に対しては生成AIを用いたセキュリティソリューションを活用し、スピーディに対処することが求められていくでしょう。