LLMのダークサイド：高度なソーシャル・エンジニアリングを助長するジェネレーティブAIの仕組み

ビジネスリーダーは常に大規模言語モデル（LLM）と生成AIに感銘を受けてきました。生産性の向上は明らかです。これには、優れたマーケティングコピーの執筆や、厄介なカスタマーサービス業務の自動化などが含まれます。私たちがこれらの強力なツールをより多く仕事に使うようになると、危険な脅威が現れます。この脅威は、従来の サイバー リスク私たちはデジタル詐欺の新時代を迎えています。ジェネレーティブAIは、複雑なソーシャル・エンジニアリング攻撃の最重要ツールとなりつつあります。これは、企業のセキュリティ、財務、評判に深刻なリスクをもたらします。

ビヨンド・フィッシング 1.0

ナイジェリアの王子様を騙る、スペルの稚拙なメールを覚えていますか？あの粗雑な詐欺の試みは、今や過ぎ去った時代のものです。ジェネレーティブAIは、脅威となる攻撃者に、以前は国家や大規模な犯罪グループだけが持っていたツールへのアクセスを提供します。これにより、より多くの人々が高度な詐欺を利用できるようになりました。主な弱点は人間の行動であることに変わりはありませんが、攻撃手法ははるかに高度になっています。

最も直接的で広範な脅威は、フィッシングの進化にあります。ジェネレーティブAIにより、攻撃者は本物と見紛うような偽の電子メールやメッセージを作成することができます。社内のコミュニケーションや信頼できるパートナーからのメッセージを模倣することも可能です。CEOからの緊急メッセージを想像してみてください。CEOの文体と完全に一致します。最近の社内イベントに言及し、CEO独特の癖までコピーしています。LLMはこれらを数秒で作成します。決算説明会、プレスリリース、LinkedInの投稿などの公開データを使用します。これらのメッセージは通常のスパムフィルターを通過します。これらのフィルターは、一般的なテンプレートや文法の間違いを探します。彼らは現実的で緊急性があるように見えます。彼らは迅速な行動を求めています。これには、危険なリンクをクリックしたり、偽の支払いを承認したり、個人情報を共有したりすることが含まれます。

こちらもお読みください： スマート・ロジスティクス：GenAIが日本の次世代サプライチェーンにもたらすもの

によると IBMの 2024 X-Force Threat Intelligence Reportによると、フィッシングは依然として感染経路のトップであり、分析対象となった全攻撃の30%を占めています。ジェネレーティブAIの追加は、パーソナライゼーションと信憑性により、フィッシングの成功率を劇的に高めることが予想されます。

ボイス・クローニングは、もう1つの恐ろしい次元を追加します。攻撃者は重役の声の説得力のあるコピーを作成することができます。必要なのは、公開されているソースからの数分間の音声だけです。インタビューやプレゼンテーションなどです。CFOからの必死のボイスメールやライブコールを想像してみてください。彼らは危機を防ぐために緊急の電信送金を要求しています。信頼できる声を聞くことは、私たちに強い影響を与えます。その要求に緊急性があれば、私たちの気持ちはさらに高まります。このミックスは、私たちの判断を容易に曇らせます。

2023年レポート マカフィー によると、全世界で4人に1人がAI音声詐欺に遭遇しており、そのうち77%がお金を失っています。

数百万ドルの損失をもたらすCEO詐欺は、今や現実の問題です。AIの音声クローンによって、このような事件が頻繁に起こっており、憂慮すべき事態です。

ディープフェイクと合成メディア

その脅威は、テキストや音声にとどまりません。GANや高度な動画ツールは、非常にリアルな「ディープフェイク」動画を作成することができます。例えば、物議を醸すような方針変更を共有する会社のリーダーのフェイク動画。これは社内の混乱や社外の怒りにつながります。トップへの偽のインタビューは、有害な嘘を広め、株価を下落させます。ディープフェイクは、標的を絞った恐喝や偽情報の拡散に使われることがあります。この場合、特定の幹部や役員をターゲットにすることがよくあります。によると ガートナー2022年の1%未満から、2026年までに30%の企業が誤報とディープフェイク攻撃に対抗する専門チームを持つことになります。

合成メディアの攻撃は信頼の核心を突きます。合成メディア攻撃は、リーダーシップ、コミュニケーション、情報エコシステムに対する信頼を損ないます。今日のビジネスの世界では、評判は非常に重要です。それを損なうリスクは非常に高いのです。AIが作り上げたフィクションの中から真実を見つけ出すことは、大きな挑戦です。ステークホルダーの信頼を揺るがし、混乱への扉を開いてしまうのです。

規模に応じたクレデンシャル・ハーベスティングと偵察

ジェネレーティブAIは攻撃の偵察段階も強化します。LLMはインターネットやソーシャルメディアをノンストップで検索できます。企業のウェブサイトやデータリークまで調べます。これはターゲットの詳細なプロファイルを作成するのに役立ちます。これらのプロファイルには、特定の従業員が表示されます。役割、責任、レポートライン、プロジェクト、個人的な興味などが含まれます。このインテリジェンスは、攻撃者が正確なスピアフィッシング攻撃を作成するのに役立ちます。また、ITサポートやベンダーのふりをするなど、口実のシナリオを設定することもできます。偽の社内ポータル上の「親切な」チャットボットは、従業員の質問に答えます。しかし、従業員に気づかれないようにログイン情報を収集することもできます。これはすべてAIによって行われる可能性があります。

AIは、LinkedInのようなソーシャルメディア上に多くの偽のプロフィールを自動的に作成することができます。これらの合成された「従業員」や「業界の専門家」は、時間の経過とともに信頼性を獲得します。本物の社員とつながり、信頼を築きます。そして攻撃を開始します。これには、情報の入手、マルウェアの拡散、金銭詐欺の可能性などが含まれます。自動化により、キャンペーンはより大規模で長期的なものになります。そのため、手作業による方法よりも効果的で、追跡が難しくなります。

誤報の増幅とブランド破壊工作

ビジネスリスクは、直接的な金銭詐欺やデータ盗難にとどまりません。ジェネレーティブAIは誤った情報を容易に拡散させます。これはブランド認知を大規模に損ないます。サイバー犯罪者は、偽の否定的なレビューでプラットフォームを氾濫させることができます。また、偽のソーシャルメディアアカウントを作成し、有害なコンテンツを投稿することもできます。また、偽のニュース記事を作成することもできます。これらの記事は、製品、財務、またはリーダーに関する有害な嘘を広めます。このような偽情報のスピードと量は、従来の監視や対応方法では手に負えません。このような偽情報を封じ込め、ブランドへのダメージを修復することは、飛躍的に難しくなり、コストもかかります。

見えない脅威の軽減

AIによるソーシャル・エンジニアリングの変化に対応するには、セキュリティ戦略を大きく転換する必要があります。従来の純粋な技術的防御は必要ですが不十分です。今や主な標的は人間です。私たちの防御策は、この事実を反映する必要があります。

セキュリティ意識向上トレーニングに革命を誤字脱字を見抜くという単純なモジュールは忘れてください。従業員には、高度なAIの欺瞞の主な兆候を識別するための定期的かつ実践的なトレーニングが必要です。これには、奇妙なリクエストをチェックするための重要なトレーニングも含まれます。これは特に、送金や機密データに関するリクエストに当てはまります。これは、それがどこから来たかに関係なく適用されます。フィッシングの模擬訓練も変える必要があります。超リアルなAIが生成したルアーを使うべきです。これは、人々がこれらの高度な手口にどれだけ抵抗できるかをテストするものです。健全な懐疑主義と心理的安全性の文化を構築することが重要です。従業員は、反発を恐れずに自由に質問し、問題を報告できるようにすべきです。

技術的な管理は引き続き重要です。DMARC、SPF、DKIMのような強力な電子メール認証方法を使用することは非常に重要です。DMARCやSPF、DKIMのような強力なメール認証方式を使用することは非常に重要です。AIを活用した脅威検知システムは不可欠です。AIは行動分析によって微妙な変化を検知します。このような通信やユーザー行動の変化は、複雑な攻撃を示している可能性があります。多要素認証（MFA）は重要な防御策です。攻撃者が認証情報を入手したとしても、それをはるかに困難にします。金融取引は常に注意深くチェックしてください。これには通話やオンラインによるものも含まれます。別の方法で信頼できる番号に素早く電話をかけることで、多くの音声クローン詐欺を防ぐことができます。

組織は、公的な役員通信を使用するための明確なポリシーを作成する必要があります。また、通常とは異なる内部からの要請を確認する方法を設定する必要があります。これは、緊急の対応や秘密が必要な要求の場合に重要です。ディープフェイクを検出するためのメディアフォレンジックツールに投資することは困難です。しかし、強固なセキュリティーとコミュニケーション戦略には不可欠です。

警戒すべきリーダーシップの必要性

ジェネレーティブAIの台頭は単なる技術革新ではありません。それは脅威の状況に大きな変化をもたらすものです。LLMの「ダークサイド」は敵対者に新たなツールを提供します。これらのツールは、企業のセキュリティに対する考え方を変えます。何もしないことの代償はデータ漏洩だけではありません。今や、大規模な金銭詐欺、評判への深刻なダメージ、利害関係者からの信頼の失墜、虚偽の情報による業務停止などが含まれます。

ビジネスリーダーは AI 生産性と技術革新のためのツールとして。その武器化の可能性を理解することは、現代のリスク管理の重要な要素です。人に焦点を当てたセキュリティ・トレーニングへの投資は不可欠です。強力な技術的防御、強固な検証プロセス、そして強固なセキュリティ文化のすべてが必要です。それは、スマート・マシンの時代にビジネスを行うためのコストなのです。

AIを駆使したソーシャルエンジニアリングの巧妙さは増すばかり。攻撃者は最新の手口を使います。そのため、私たちの防御も同様に、適応力があり、強力で、人的要因を意識したものである必要があります。機械の中の影はますます大きくなっており、警戒は私たちの最も強力な武器です。それを無視するのは、責任あるリーダーとして許されない贅沢です。今こそヒューマン・ファイアウォールを強化すべき時なのです。