Malwarebytesは2025年2月13日(米国時間)、「How AI was used in an advanced phishing campaign targeting Gmail users|Malwarebytes」において、Gmailユーザーを標的とする高度なフィッシングキャンペーンに複数の生成AI技術が利用されたとして注意を喚起した。

  • How AI was used in an advanced phishing campaign targeting Gmail users|Malwarebytes

    How AI was used in an advanced phishing campaign targeting Gmail users|Malwarebytes

生成AIの悪用

フィッシングに生成AIを悪用する事例は増加しており、珍しいものではなくなってきている。McAfeeの調査によると生成AIを悪用した高度な詐欺メール(ディープフェイク動画など)はわずか5ドルで作成可能だという(参考:「State of the Scamiverse - How AI is Revolutionizing Online Fraud | McAfee Blog」)。

生成AIは高度化し、ユーザーにさまざまなサービスを提供しているが、同時にサイバー攻撃のレベルアップにも悪用されている。近年ではセキュリティソリューションを回避する攻撃支援などにも悪用されている。

Malwarebytesによると、Gmailユーザーを標的としたフィッシングキャンペーンにおいても、複数の生成AI技術が使用されたという。攻撃者は最初にユーザーへ電話を掛け、Gmailアカウントが侵害されたと主張する。次にGoogleが作成したように見えるフィッシングメールを送信し、アカウントの復元に必要として確認コードを提供させる。

攻撃者は被害者のメールアドレス情報を購入するなどしてすでに知っており、確認コードを入手するだけでアカウントを乗っ取ることができる。Googleアカウントを乗っ取られると、さまざまな個人情報を窃取される恐れがある。

対策

Malwarebytesは進化を続ける攻撃を回避するため、次の対策を推奨している。

  • 予期しないメールやメッセージに含まれるリンクや添付ファイルには触れない
  • 信頼できる正規のWebサイト以外では個人情報を入力しない
  • パスワードマネージャーを導入し、信頼できる正規のWebサイトでのみ資格情報を自動入力する
  • オンラインアカウントの不正利用の兆候を監視する
  • メールやメッセージにリンクが含まれていても、他の手段で情報にアクセスする
  • すべてのオンラインアカウントで多要素認証(MFA: Multi-Factor Authentication)を使用する

生成AIは進化を続けており、2025年はエージェント型AIの登場が予想されている。この最新のAIはユーザーの質問に答えるだけではなく、考えて行動するようになる。質問や要求からタスクを計画し、必要な相手と交渉し、問題を解決しようとする。この機能を悪用できた場合、誰でも簡単に高度なサイバー攻撃を実行可能になる。

このようにAIはユーザーに恩恵とリスクの双方をもたらす。そのリスクを可能な限り排除するため、すべてのユーザーには進化するサイバー攻撃手法を継続的に収集し、必要な対策を実施し続けることが望まれている。