近年の人工知能(AI)の進歩を利用し、まるで人と会話しているような体験を提供する新しいチャットボット技術「ChatGPT」をご存知でしょうか。ChatGPTは現在、無料で利用できるため、サイバーセキュリティの専門家は、ChatGPTが生成するフィッシングメールのリスクに注目しています。
Proofpointはチャットボットを悪用したフィッシングメールをブロックします
プルーフポイントは、これまでチャットボットのような類似のツールを使用して被害者をだますフィッシング攻撃を長年にわたって阻止しており、プルーフポイントの脅威プロテクション プラットフォームはすでにChatGPTで生成された脅威をブロックしています。
チャットボットは多くの場合、フィッシングメールの本文のテキストを生成するために用いられますが、それは脅威の一部分に過ぎません。メールヘッダー、送信者、添付ファイル、URLに、多くの脅威インジケーターを持っています。
英語圏においては、ChatGPTは、標的型のスピアフィッシング攻撃の流れを変えるものではありません。有名作家のスタイルで拡張された散文を作成することはできますが、ChatGPTはあなたの同僚の文章の癖などの情報を持っていないため、ChatGPTが高度な標的型フィッシング攻撃を改善する可能性は低いということです。
ただし日本においては、これまで言語の壁があることにより、不自然な日本語文法などでユーザーが、フィッシングメールであることに気づけるものが多々ありました。しかしChatGPTを用いることによって、以前よりも自然な日本語の文体により、攻撃者がフィッシングメール攻撃やビジネスメール詐欺などに用いれば、攻撃の成功率が高まることが懸念されます。
しかし、攻撃者がChatGPTを利用して、文法を改善したり、ばらまき型の攻撃を実施したとしても、フィッシングの脅威の性質は変わらないため、Proofpointのような堅牢な検知システムであれば、これらのメールを引き続き捕捉することでしょう。
メール詐欺にひっかからないようにするためには
電子メールがフィッシングメールである可能性を示す潜在的な兆候を探し、警戒することが重要です。また、ChatGPTのようなツールにより、より自然な日本語のフィッシングメールやビジネスメール詐欺が発生している事実を覚えておくことは重要です。
今日の進化する脅威の状況の中では、システムだけではなく、「人」自身も異常を検知できるよう、注意深くならなければなりません。システムを用いて業務を遂行するにあたって必要なセキュリティ知識を保つために、定期的にセキュリティ意識向上のためのトレーニングを実施する必要があります。
Proofpoint Security Awareness では、フィッシング詐欺に引っかからないように、Eメールの様々な側面や脅威の指標を探すために、以下のようなことを教えています。
- 信頼できる発信元やブランドからのメッセージに見えても、送信者をすぐに信用しない
- 送信者のアドレスを精査し、リンクを確認する(送信者の名前やリンクの上でマウスオーバーしてメールアドレスやURLを確認する)
- 奇妙な書式やロゴがないか確認する
- 「アカウントの確認」や「今すぐログイン」など、緊急性を強調して、行動を促す呼びかけに特に注意する
- ファイル共有のリンクは必ずしも安全ではないことを理解する
プルーフポイントのCybersecurity Awareness Hub(セキュリティ意識向上スタートキット サイト)では、無償で使えるセキュリティ教育トレーニングキット、アナリストレポート、ホワイトペーパーなど、セキュリティ意識向上プログラムに役立つ無料のリソースをご用意しています。ぜひ貴社のセキュリティ向上のためにお使いください。
