2024年、生成AIの台頭で予想されるサイバーセキュリティリスクの高まり。声のなりすましで情報入手、注意すべきポイントは?
生成AIによる脅威、ダークウェブで発見されたFraudGPT
生成AI関連のセキュリティリスクを考える際、悪意ある生成AIツールが存在することも認識しておく必要がある。 その1つが「FraudGPT」と呼ばれるサブスクリプションベースの生成AIツールだ。 これは2023年7月に、Netenrichの研究チームがダークウェブのテレグラムチャンネルで発見したサイバー攻撃に特化した生成AIツール。スキルを持たない人物でも悪意あるコードを作成したり、検出不可能なマルウェアやフィッシングメールの作成を自動化できる。サブスクリプション料金は、月額200ドル、年額1,700ドル。 OpenAIやAnthropicなど主要AI企業が開発するクローズドソースのAIモデルは通常、悪意あるプロンプトに対して回答を生成しないように設計されている。クローズドソースであるため、AIモデルの挙動を改変するのも不可能。FraudGPTの開発者はおそらくオープンソースのAIモデルを使い、何らかの方法で制約を解除し、同ツールを作成したとみられている。 サイバー攻撃で生成AIを用いることは、ChatGPTが登場する前から国家後援のサイバーテロ部隊によって実施されてきたもので目新しいものではないが、誰もがアクセスできる悪意ある生成AIツールが登場したことで、サイバー攻撃の量が大幅に増える可能性が高まっている。
生成AIでなりすましも巧妙化、増加が予想される「Vishing」
今後はフィッシングだけでなく「Vishing」と呼ばれるサイバー攻撃にも注意する必要がある。 フィッシングとは、主に金融機関などになりすましたEメールによって、攻撃対象者を偽ウェブサイトに誘導し、ログイン情報などの個人情報を抜き取るもの。生成AIの悪用により、このフィッシング手口がさらに巧妙化し、Vishingとして増える可能性が指摘されているのだ。 Vishingとは、voice(音声)とphishing(フィッシング)をかけあわせた造語。文字通り、なりすましの音声を使い、個人情報の抜き取りを狙う手口だ。企業の経営層や部門責任者などになりすまし、電話で従業員からログイン情報を聞き出し、企業内部のシステムに侵入。リンクトインなどで対象となる人物のプロファイリングを行い、その人物になりすまし、権威感や緊急性などを含むソーシャルエンジニアリング手法を用い、従業員から情報を抜き取るのだ。 AIによって対象人物のプロファイリングや分析を高い精度で実行できるだけでなく、クローンAIツールを悪用することで、その人物と同じ声や口調のクローンを作り出すことも可能となっており、Vishingリスクは日々高まっている。 米国のカジノチェーンMGMが2023年9月にサイバー攻撃を受け、復旧まで10日間要した事件があったが、その発端となったのがこのVishingだったと報じられている。
文:細谷元(Livit)