セキュリティに活かすChat-GPT:フィッシングメール対策
読売新聞社が「チャットGPTが犯罪指南」と題した記事を公開し話題を集めています。この記事にあるとおりChat-GPTを使うとフィッシングメールのサンプル文等も生成可能です。Chat-GPTは道具であり、犯罪に使うことも出来れば、犯罪から身を守る防犯にも使えます。
本記事では、フィッシングメールと疑わしいメールをChat-GPTにフィッシングメールかどうかを判断させる方法について記載します。
■Chat-GPTにフィッシングメールかどうかを判断させる
Chat-GPTに以下のフォーマットで質問するとフィッシングメールであるかどうかの助言を受けることが可能です。
以下のメールが届きました。これはフィッシングメールの可能性はあますか?
送信元:送信元のメールアドレス
本文:
分析したいフィッシングメールの本文を貼り付ける
上記のフォーマットで筆者に実際に届いたフィッシングメールについて質問してみました。
以下のメールが届きました。これはフィッシングメールの可能性はあますか?
送信元:イオンカード <ckvpnenppz4c@hotmail.com>
本文:
【AEON CARD】のお客様
メールアドレス:筆者の実際のメールアドレス
このメールはイオンクレジットサービス(株)からのメールです。
引き続き、イオンスクエアメンバーIDのメールアドレス登録または変更のお手続きを進めてください。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。
つきましては、以下へアクセスの上、カードのご利用確認にご協力
————————–
■このメールは送信専用メールアドレスから配信されています。ご返信いただいてもご用件は承れません。
■当メールにお心当たりのない方は、大変お手数をお掛けしますがその旨を受信したメールの内容とともにお書き添えいただき下記宛先までご連絡ください。
■お問い合わせ先
<イオンクレジットサービス株式会社>
■ご利用確認はこちら
————————–
注意事項(必読)
・確認がお済みでない場合、サービスのご利用を停止させていただきますので、ご了承ください。
・お客様にはご不便、ご面倒をお掛けすることもあるかと存じますが、
・何卒ご理解いただきますようお願い申し上げます。
————————–
カード発行先:株式会社イオン銀行
業務受託会社:イオンクレジットサービス株式会社
このメールを実際にスマートフォン等でメールの受信確認をすると送信元の正規のメールアドレスが表示されておらず差出人は「イオンカード」としか表示されていません。メール下部にはイオンのロゴも表記されており日本語にも不自然な部分がなく一見すると「本物」のように見えます。
Chat-GPTに分析して貰った結果が以下となります。
このメールの送信元アドレスが「ckvpnenppz4c@hotmail.com」と不審なアドレスであり、また、イオンカードから送信されたように偽装されていることが示唆されています。これはフィッシングメールである可能性が高く、このメールの内容に従ってリンクをクリックすることは危険です。個人情報やクレジットカード情報を入力するよう求められた場合は、絶対に入力しないでください。もし疑わしいと感じた場合は、イオンカードの公式サイトやカスタマーセンターに問い合わせることをお勧めします。
知見のある人であればメールアドレスがhotmail.comである時点でフィッシングメールであると見抜くことが出来ますがChat-GPTもその点について指摘しています。
・正規のメールも検証してみる
全てのメールについてフィッシングメールと判断する可能性もあるので、正規のメールについても同様に検証してみましょう。これはソニー損保から届いた正規のシステムメンテナンスの連絡メールです。
以下のメールが届きました。これはフィッシングメールの可能性はあますか?
送信元:ソニー損害保険株式会社 <sa_mail@web.sonysonpo.co.jp>
本文:
平素は格別のご厚情を賜り、厚く御礼申し上げます。
この度、システムメンテナンスに伴い、
電話お問合せ窓口とウェブサイトの営業時間を以下のとおり変更いたします。
ご迷惑をおかけして大変申し訳ございませんが、
各種お手続きが当該日程に重なることが無いよう、お早めのお手続きをお願い申し上げます。
誠に恐れ入りますが、ご理解ご協力のほど、よろしくお願いいたします。
※以下によらず事故・ロードサービスのご連絡窓口については、24時間365日営業しております。
上記のウェブサイトの休止時間帯においては、クラブオフサービス(ご契約者優待サービス)のページもご利用いただけません。
休止時にサービスを利用される場合は、事前にクーポンを獲得いただくなどのご対応をお願いいたします。
◆お問合せ窓口◆
お電話によるお問合せ窓口につきましては、以下URLよりご確認ください。
http://www.sonysonpo.co.jp/inq/n0010000.html
※時間帯が変更となる可能性がありますので、あらかじめご了承ください。
変更となる場合にはウェブサイトにてお知らせいたします。
※ご契約・お手続きに関する内容のため、当社からのメールによるご案内を「不要」と選択されたお客様にもご案内しています。
※送信専用アドレスからお送りしているため、本メールにご返信いただいても、お問合せにお答えすることができません。
※個人情報のお取扱いにつきましては、以下URLよりご確認ください。
https://www.sonysonpo.co.jp/share/doc/n0040000.html
ソニー損害保険株式会社
Copyright Sony Assurance Inc. All rights reserved.
Chat-GPTに分析して貰った結果が以下となります。このメールはフィッシングメールの特徴を持っていないと判断されました。
このメールは、フィッシングメールの特徴を持っていません。ソニー損害保険株式会社からのメールであり、システムメンテナンスに伴い、電話お問い合わせ窓口とウェブサイトの営業時間が変更される旨を通知しています。ただし、受信者がソニー損害保険株式会社の契約者でない場合は、このメールを無視することができます。しかし、受信者がソニー損害保険株式会社の契約者である場合は、このメールに記載された内容を確認し、必要に応じて手続きを行うことができます。したがって、このメールはフィッシングメールではないようです。
■従業員のITリテラシー向上への貢献期待
今回検証に用いたフィッシングメールは送信元が@hotmial.comという見る人が見ると明らかに怪しいフィッシングメールでした。最近のフィッシングメールは送信元アドレスも本物のドメインの一文字違い等で「わかりにくくする」巧妙な仕掛けが施されていますので、そのような高度なフィッシングメールにはChat-GPTも騙されてしまう可能性はあるでしょう。
しかし、フィッシングメールと疑わしいメールが届いた時に「Chat-GPTに聞く」という習慣を付けると以下のステップを踏むことになります。
1) 怪しいメールが届く
2) Chat-GPTに質問する
3) Chat-GPTと共に「フィッシングメールかどうか考える」
従来は「怪しいメールが届く」と一人で悶々と悩むだけで誘惑にまけてフィッシングメールを開いてしまったことがある人も居るかと思いますが、Chat-GPTという相談役が入ることで、「冷静に考える間」が生まれます。
また、在宅勤務中は周囲に「このメール怪しくない?」と気軽に相談する相手がおらずフィッシングメールのクリック率が増えているという声も耳にします。
Chat-GPTに送信元とメール本文を貼り付けて質問する習慣を身につけると、明らかに送信元の怪しいメールに返信したりリンクをクリックする行為を抑制する効果が期待可能です。
Chat-GPTは道具であり、犯罪に使うことも出来れば、犯罪から身を守る防犯にも使えます。上手に活用すれば企業のセキュリティ向上にも活用することが期待出来ます。
