これまでのところ、サイバー犯罪との戦いにおける組織の最大の弱点は十分に管理されており、従業員は適切な訓練を受け、意識を高められてきました。 しかし、AI が生成するソーシャル エンジニアリング詐欺により、新たな波が到来します。 ソフォスのフィールド CTO アプライド リサーチのチェスター ウィズニウスキー氏は、テクノロジーが成熟するまでは人間が番犬の役割を果たさなければならないと述べ、将来について XNUMX つの予測を立てています。
組織は、サイバーセキュリティの最も重要な要素の XNUMX つである従業員との取り組みに取り組んでいます。 彼らは継続的なトレーニングによって「人間の弱点」に対抗しており、現在では、言語の不規則性やスペルや文法の誤りなどによる潜在的なフィッシング攻撃をユーザーが認識できると多くの場合信頼しています。
AI はスペルミスによって自分自身を明らかにしなくなりました
しかし、ChatGPT のような AI を利用した音声およびコンテンツ ジェネレーターは、詐欺、フィッシングの試み、その他のソーシャル エンジニアリング攻撃からこれらの証拠となる要素を削除する方向に進んでいます。 「上司」からの偽メールは、人工知能のおかげでこれまで以上に説得力があるように聞こえ、従業員は間違いなく事実とフィクションを区別するのが難しくなるでしょう。 こうした詐欺の場合、AI 言語ツールによってもたらされるリスクは技術的なものではなく、社会的なものであるため、恐ろしいものです。
AI によるフィッシング攻撃の具体的なリスク
ブログ投稿の作成やコードのコーディングから専門的な電子メールの作成まで、AI 言語ツールはすべてを実行できます。このテクノロジーは魅力的なコンテンツの生成に熟達しており、人間の言語パターンをエミュレートするのが異常なほど優れています。
ソーシャルエンジニアリングされたコンテンツに対するこれらのプログラムの悪用はまだ確認されていませんが、それが差し迫っているのではないかと考えています。 ChatGPT はすでにマルウェアの作成に使用されており、近いうちに犯罪者が AI 音声ツール用の悪意のあるアプリケーションを開発すると予想されます。 しかし、AI によって生成されたフィッシング コンテンツは、技術的な防御を損なう独自の社会的リスクをすでに引き起こしています。
AI フィッシング攻撃: すべての電子メールが脅威になり得るか?
AI によって生成されたマルウェアを例に挙げると、既存のセキュリティ製品はコーディング コードをミリ秒単位で分析し、安全か悪意があるかを自信を持って評価できます。 さらに重要なことは、テクノロジーはテクノロジーに対抗することができるということです。
しかし、人工知能によって作成されたフィッシング メッセージに埋め込まれた単語やニュアンスは機械では検出できません。これらの詐欺の試みを受信者として解釈するのは人間です。 AI ツールが洗練されたリアルなコンテンツをオンデマンドで生成できるようになったことで、防衛線の一部として人間に依存することがますます少なくなってきています。
新事実: テクノロジー vs. テクノロジー
この急速に進化する状況では、ソーシャル エンジニアリング攻撃と戦うためのセキュリティ トレーニングの役割を再評価する必要があります。 AI が生成する詐欺に対する商用アプリケーションはまだありませんが、テクノロジーは、個人を特定し、機械が生成するフィッシング攻撃から個人を保護するための重要なツールとしてますます機能するでしょう。 人間も今後も役割を果たしますが、それは非常に小さなものにすぎません。
ChatGPT時代のXNUMXつの予言
この新しい AI 時代はまだ初期段階にありますが、AI によって生成されたフィッシング コンテンツが企業のセキュリティ戦略にとって非常に重要なトピックになることはすでに明らかです。 ChatGPT がサイバー犯罪のツールとしてどのように使用されるか、また ChatGPT からどのようなセキュリティ対応が展開されるかについての次の XNUMX つの予測が最も可能性が高いと思われます。
1. より複雑なユーザー認証が必要になります。
機械は人間のように聞こえることが非常に得意であるため、企業には新しい認証オプションを提供する必要があります。 これは、企業情報、システム、または金銭要素へのアクセスに関係するすべての通信には、より複雑な形式のユーザー認証が必要であることを意味します。 おそらく、電話による認証が、この種の電子メールやメッセージを認証する最も一般的な方法になるでしょう。 企業は、他の組織や個人に対して自社を識別するために秘密の毎日のパスワードを使用することもできます。
一部の金融機関はすでにこの方法で運用しています。 どのような形式の検証を使用する場合でも、ユーザーの資格情報を侵害した攻撃者がその方法を簡単に使用できないことが重要です。
AI テクノロジーが猛烈なスピードで進化し普及するにつれて、認証方法もそれに追いつく必要があります。 たとえば、マイクロソフトは今年 XNUMX 月に、XNUMX 秒間の音声録音後に人間の声を複製できる新しい AI テクノロジーである VALL-E を発表しました。 したがって、近い将来、認証要件として電話だけでは不十分になる可能性があります...
2. 正規ユーザーがセキュリティ警告を無視する: すべてかまったくなし
ソフォスの応用研究分野 CTO である Chester Wisniewski 氏 (画像: Sophos)。
多くのユーザーは ChatGPT を使用して、プロフェッショナルなコンテンツやプロモーション用のコンテンツを迅速に作成します。 この AI 言語ツールの合法的な使用により、犯罪例の特定が困難になり、セキュリティへの対応が複雑になります。
例: ChatGPT で生成されたテキストを含むすべての電子メールが悪意のあるものであるわけではないため、すべてを完全にブロックすることはできません。 これにより、セキュリティ対応がある程度骨抜きになります。 対策として、セキュリティ ソリューション プロバイダーは、メッセージや電子メールが AI によって生成されたものであっても信頼できる可能性を評価する「トラスト ポイント」またはその他の指標を開発することができます。 また、AI モデルをトレーニングして、人工知能で作成されたテキストを認識し、ユーザー向けシステムに「注意」バナーを配置することもできます。 場合によっては、このテクノロジーにより、従業員の電子メール受信箱からメッセージが除外される可能性があります。
3. AI による詐欺はよりインタラクティブになる
将来的には、フィッシングメールやワンタイムメッセージを作成するために、犯罪者によって AI 言語プログラムがさらにインタラクティブに使用されるようになると予想しています。 詐欺師はこのテクノロジーを使用して、リアルタイム チャットを通じて個人を操作する可能性があります。
WhatsApp、Signal、Telegram などのメッセージング サービスはエンドツーエンドで暗号化されているため、これらのプラットフォームはプライベート チャネルで詐欺メッセージや AI によって生成されたメッセージをフィルタリングできません。 これにより、これらのプラットフォームで被害者をストーカーする詐欺師にとって、それらは非常に魅力的なものになる可能性があります。
一方で、この発展により、組織はセキュリティ ソリューションの再構成を余儀なくされる可能性があります。 個々の従業員の端末デバイスでフィルター テクノロジを使用する必要がある場合があります。
新しいテクノロジーが定着するまでは、次のことが適用されます: すべてのコミュニケーションを信頼しない
AI 言語ツールは、サイバーセキュリティの将来について本質的な質問をします。 何が真実なのかを見極めることはますます困難になっており、将来の開発によってもそれが容易になることはありません。 テクノロジーは、AI によるサイバー犯罪に対する主な武器となります。 しかし今では、従業員が介入し、あらゆるコミュニケーションを不信とすることを学ばなければなりません。 ChatGPT の時代では、それは過剰反応ではなく、重要な反応です。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。