生成AIがサイバー攻撃を変えた
生成AIの登場により、サイバー攻撃のコストは1/10以下に、精度は10倍以上に向上しました。かつては高度な技術者にしかできなかった攻撃が、AIツールにより誰でも実行可能になっています。
手口1:AI生成フィッシングメール
ターゲットのSNSやWebサイトの情報をAIが分析し、個人に最適化されたフィッシングメールを自動生成。文法の誤りがなく、実在の取引先を騙る精巧な内容。検出率は従来のフィッシングの半分以下。
手口2:ディープフェイク音声によるBEC
経営者の音声をAIで合成し、経理担当者に「至急○○に送金して」と電話する手口。わずか3秒の音声サンプルから高精度の合成が可能。海外では数億円規模の被害事例も。
手口3:AIによる自動脆弱性スキャン
AIエージェントがターゲットのWebサイトやサーバーを自動でスキャンし、脆弱性を特定・エクスプロイトを生成。人間の侵入テスターより高速で網羅的。
手口4:ポリモーフィックマルウェア
AIがマルウェアのコードを実行のたびに自動変異させ、シグネチャベースの検知を回避。従来のウイルス対策ソフトでは検出困難。
手口5:AIソーシャルエンジニアリング
AIチャットボットがカスタマーサポートを装い、顧客から認証情報を聞き出す手口。自然な会話で警戒心を解く。
従来の防御策が通用しない理由
- シグネチャベースの検知:ポリモーフィックマルウェアに対応できない
- 「不自然な日本語」で判別:AI生成文は自然な日本語
- URL/ドメインチェック:正規ドメインに酷似したドメインを自動生成
AI時代の防御策7選
- AIベースのメールフィルタ:Defender for Office 365等のAI検知機能
- MFA(多要素認証)の全面適用:パスワードが漏洩しても侵入を防止
- ゼロトラストアーキテクチャ:常に検証、暗黙の信頼を排除
- EDR/XDR:振る舞い検知でポリモーフィックマルウェアに対応
- 音声認証の導入:重要な指示は電話だけでなくメール/チャットで二重確認
- AIレッドチーミング:自社のAI脆弱性をAIで事前にテスト
- 社員教育のアップデート:AI攻撃に特化した訓練シナリオの導入
社員教育のアップデート
従来のフィッシング訓練に加え、ディープフェイク音声の見分け方、AI生成メールの特徴、送金・情報提供前の二重確認プロセスを研修に組み込みましょう。
BTNのセキュリティ支援
BTNコンサルティングでは、AI時代のセキュリティ対策を包括的に支援。情シス365セキュリティパックで、最新の脅威に対応します。
まとめ
AI攻撃にはAI防御で対抗する時代です。MFA+EDR+AIメールフィルタの3点セットを基盤に、社員教育をAI攻撃対応にアップデートしましょう。