多くのセキュリティ企業が指摘していますが、2024年にはこれまで以上に生成AIがサイバー攻撃に利用されます。
生成AIがなりすましや情報窃取において攻撃者の強力なツールになり、特にビジネスメール詐欺(BEC)、スピアフィッシングなどのソーシャルエンジニアリング手法に利用される可能性があります。音声クローニングのようなディープフェイク技術の進歩も指摘されており、これらの技術が詐欺での悪用が増えると予測されています。
生成AIを使った具体的な攻撃手法としては、生成AIを使用してフィッシング攻撃やソーシャルエンジニアリングに利用されるケースがあります。これにはメールやメッセージなどのコミュニケーションをより説得力のあるものにするために、生成AIが使われることが含まれます。さらに、生成型AIを使ってコンテンツや音声や動画などの素材をより本物らしく見せることが可能で、これがサイバー攻撃の高度化に貢献しているとされています。
これらの事例から、生成AIがサイバーセキュリティの脅威として、どのように利用され得るかの典型的な例を見ることができます。攻撃者はAIを使って、従来の手法をより巧妙で効果的なものにしていると言えます。
バーチャル誘拐
バーチャル誘拐は、AI音声クローニング技術を悪用して特定の個人、例えば子供の声を偽造し、実際には存在しない誘拐事件を捏造するサイバー攻撃です。攻撃者は生成した音声を使用して、被害者の家族に連絡し、子供が誘拐されたと偽り、身代金を要求します。このような攻撃は、ディープフェイク技術の進展とともにリアルに感じられ、被害者をだますのに十分な説得力を持っています。
現在のところ、バーチャル誘拐の具体的な事例に関する詳細情報は見つかりませんでした。バーチャル誘拐は比較的新しいタイプのサイバー攻撃で、その具体的な実行例については公表されていない可能性があります。このような攻撃が実際に起こった場合、関連する情報は犯罪捜査の一環として扱われ、一般には公開されないことが多いです。したがって、現在のところ具体的な事例の報告は確認されていないようです。
また「WormGPT」と呼ばれる非倫理的な依頼に応えるサイバー攻撃用の生成AIの出現が確認されています
「WormGPT」は、生成型AI技術を用いてサイバー攻撃を行うためのツールです。このツールは特にランサムウェア攻撃における二重恐喝などの非倫理的な活動に利用されることが懸念されています。ただしこのツールの具体的な機能や運用方法に関する詳細情報は公開されていないため、その正確な性質や範囲については不明です。
現在、各国・各組織は生成AIの活用ルール化を積極的に進めていますが、こうした「裏」のツールや使い方により、サイバー攻撃はさらに加速すると見られています。
今はパッと見ただけで「あ、これ詐欺メールだ」と分かるものが多いのが現状ですが、よっぱど注意深く確認しても、果たして見破れるかどうか……。
重要な話は結局、電話に回帰せざるを得ないのかもしれませんね。
(注)この原稿制作にはAIを活用しています。情報の正確さを保証するものではありません。