eSecurity Planetは10月6日(現地時間)、「AI Phishing Scams Are Outsmarting Everyone」において、AIが生成した高度なフィッシングメールは検出できないとして、注意を喚起した。新たな調査の結果、過半数の人がAIが生成したフィッシングメールと本物のメールを区別できないことが明らかになったという。
-
AI Phishing Scams Are Outsmarting Everyone
半数以上がフィッシングメールを区別できない実態が浮き彫りに
この調査はYubicoの依頼を受けたTalker Researchが日本、米国、英国、オーストラリアを含む9カ国の成人1万8,000人を対象に実施したもの。調査の目的はAIおよびフィッシングに関するサイバー脅威の認識評価とされる(参考:「Gen Z to boomers: no one is safe from AI phishing scams - Talker Research」)。
調査報告によると、AIが生成したフィッシングメールを看破した回答者は46%で、残りの54%は「見抜けない」または「確信が持てない」と回答したという。この回答に対する世代間の差異はなく、全世代を通して脅威を特定できない実態が明らかになっている。
一方で人間が書いた本物のメールの識別テストでは、回答者の約30%が正しく識別できたという。これは高い誤検知率を意味し、人為的ミスによるサイバーセキュリティインシデントの多さを浮き彫りにしている。
AIが生成したフィッシングメールは本物の社内メールなどを模倣しており、明らかな詐欺の兆候を除去する。その結果、人間は簡単かつ頻繁にだまされるようになったとの見方がある。
深刻な影響をもたらすフィッシング詐欺に注意
この調査はAIがフィッシング詐欺を強化している実態を浮き彫りにしている。深刻な影響はそのままに人々を容易にだませるようになったことで、セキュリティ環境は困難さを増している。eSecurity Planetはこのような脅威から組織を守るために、階層型アプローチを採用したセキュリティ体制の強化を提案している。 具体的には、以下の施策が挙げられている。
- FIDO2(Fast IDentity Online)に対応したセキュリティキーまたはパスキーの採用とアプリ間認証の標準化
- 高度なメールフィルターおよび行動分析の導入によるAIコンテンツの検出
- SPF/DKIM/DMARCによる検証およびなりすましの防止
- 厳格なデバイス管理と最小権限の原則の徹底
- AIにより強化されたフィッシング攻撃を見抜く従業員教育の実施
- 疑わしい事例の報告を奨励する体制作り
- AIを考慮したインシデント対応計画の更新となりすまし対策ツールの導入
AIは社会に新しい変革をもたらし始めているが、同時にセキュリティ環境にも新たな脅威をもたらしている。サイバー攻撃の難易度を低下させ、能力の低い脅威アクターの参入を可能にし、質・量ともに攻撃の拡大を後押ししている。従業員個人の能力では防御が困難となりつつあり、組織にはセキュリティ対策への積極的な投資と戦略の確立が望まれている。
中国国家支援グループがAnthropicの「Claude Code」悪用 - AIエージェントによる前例のないサイバー攻撃
