チーフ・ピープル・ハッカーのステファニー・「スノー」・カラザーズ氏が率いる IBM X-Force 研究プロジェクトでは、人間が書いたフィッシング メールのクリック率は、ChatGPT が書いたフィッシング メールよりも 3% 高いことが示されました。
この研究プロジェクトは、カナダに拠点を置くグローバルヘルスケア企業で実施されました。他の2つの組織も参加を予定していましたが、調査の一環として送信されたフィッシングメールがチームメンバーを騙す可能性が高すぎると各社のCISOが判断し、参加を辞退しました。
ジャンプ先:
- ソーシャルエンジニアリングの手法は、ターゲットのビジネスに合わせてカスタマイズされました
- 脅威アクターがフィッシング攻撃に生成AIを利用する方法
- 職場でのフィッシング攻撃から従業員を守る方法
カラザーズ氏は、フィッシングメールを自分で調査して作成するよりも、大規模な言語モデルに作成を依頼する方がはるかに早いことを発見した。企業の最も切実なニーズ、部署に関連する具体的な名前、そしてメールをカスタマイズするために使用するその他の情報を学ぶ必要があるこの調査には、彼女のX-Force Redセキュリティ研究者チームが16時間かかることもある。一方、法学修士号(LLM)を取得したカラザーズ氏なら、生成AIチャットボットを騙して、説得力のある悪意のあるコンテンツを作成させるのに約5分しかかからなかった。
参照: EvilProxyと呼ばれるフィッシング攻撃は、正規の求人検索サイトIndeed.comのオープンリダイレクタを悪用します。(TechRepublic)
ChatGPTに悪意のあるリンクをクリックさせるメールを作成させるため、IBMの研究者たちは法務・...
図A
次に、IBM X-Force Redのセキュリティ研究者は、標的企業に関する経験と調査に基づき、独自のフィッシングメールを作成しました(図B)。彼らは緊急性を強調し、従業員にアンケートへの回答を促しました。
図B
AIが生成したフィッシングメールのクリック率は11%であったのに対し、人間が作成したフィッシングメールのクリック率は14%でした。標的企業におけるフィッシングメールの平均クリック率は8%でしたが、X-Force Redが確認したフィッシングメールの平均クリック率は18%です。AIが生成したフィッシングメールは、人間が作成したフィッシングメールよりも高い割合で不審メールとして報告されました。標的企業の平均クリック率が低かったのは、おそらくその企業が月次フィッシングプラットフォームを運営しており、カスタムメールではなくテンプレートメールを送信しているためと考えられます。
研究者たちは、自社のメールが AI 生成のメールより成功したのは、人間の感情知能に訴える能力があったことと、大まかな話題ではなく組織内の実際のプログラムを選択したためだと考えている。
脅威アクターがフィッシング攻撃に生成AIを利用する方法
脅威アクターは、ChatGPTの亜種であるWormGPTなどのツールを宣伝しています。WormGPTは、ChatGPTの倫理的ガードレールによってブロックされる可能性のあるプロンプトに応答できます。IBM X-Forceは、WormGPTのようなツールがブラックハットマーケットに存在しているにもかかわらず、「X-Forceは、現在のキャンペーンで生成AIが広範囲に使用されているのを確認していない」と述べています。
「生成AIモデルの制限付きバージョンでさえ、簡単なプロンプトを介してフィッシングに誘導することはできるが、これらの制限なしバージョンは、将来、攻撃者が高度なフィッシングメールを拡大するためのより効率的な方法を提供する可能性がある」と、カラザーズ氏は研究プロジェクトの報告書に記している。
参照:採用キット: 迅速なエンジニア(TechRepublic Premium)
一方、フィッシングの方法はより容易であり、攻撃者は生成 AI をあまり使用していません。
「攻撃者は生成AIがなくてもフィッシング攻撃を非常に効果的に行います…すでに高いROIがある分野に、なぜさらに時間とお金を投資する必要があるのでしょうか?」とCarruthers氏はTechRepublicに書いています。
IBM の 2023 年脅威インテリジェンス インデックスによると、フィッシングはサイバーセキュリティ インシデントにおける最も一般的な感染ベクトルです。
「今回のプロジェクトではテストしていませんが、生成AIがより高度化するにつれて、攻撃者によるオープンソースインテリジェンス分析の強化にも役立つ可能性があります。ここでの課題は、データが事実に基づき、タイムリーであることを保証することです」と、Carruthers氏はTechRepublicへのメールで述べています。「防御側にも同様のメリットがあります。AIは、大規模組織でフィッシングシミュレーションを実行しているソーシャルエンジニアの作業を補助し、メール作成とオープンソースインテリジェンスの収集の両方をスピードアップするのに役立ちます。」
職場でのフィッシング攻撃から従業員を守る方法
X-Force は、従業員がフィッシング メールをクリックするのを防ぐために、次の手順を実行することを推奨しています。
- メールが疑わしい場合は、送信者に電話し、メールが本当にその人から送られたものかどうかを確認してください。
- すべてのスパムメールに文法やスペルの誤りがあるとは考えないでください。代わりに、通常よりも長いメールを探してください。そのようなメールは AI によって作成された兆候である可能性があります。
- 電子メールや電話によるフィッシングを回避する方法について従業員をトレーニングします。
- 多要素認証などの高度な ID およびアクセス管理制御を使用します。
- 悪意のある攻撃者が使用する可能性のある生成 AI やその他のテクノロジーの進歩に対応するために、内部の戦術、手法、手順、脅威検出システム、従業員のトレーニング資料を定期的に更新します。
フィッシング攻撃を阻止するためのガイダンスが、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁、NSA、FBI、および多州情報共有分析センターによって 10 月 18 日に発表されました。
