近々フィッシング詐欺メールにもAIが騙しにくるかもしれない

そんなにAIって興味ないのですが、前回もAIな話題でした。前回ブログ:顔認証の40%以上を突破するAI技術で判別不能なスッピンを思い出す。まだレベルの低い判別可能なものが多いので大丈夫な感じでしょうか?

説得力のあるフィッシング詐欺のメールを、AIが人間よりうまく“書く”時代がやってきた

今回の最新の実験結果はシンガポール国立テクノロジー庁のチームが手がけたもので、8月上旬にラスヴェガスで開催されたセキュリティカンファレンス「Black Hat」と「DEF CON」で発表された。

研究チームは、メンバー自身が作成した標的型フィッシングメールとAIaaSプラットフォームが作成したフィッシングメールを、同僚200人に送信した。どちらのメッセージにもリンクが含まれており、実害は与えないもののクリックスルー率を研究チームに報告する仕組みになっていた。

この結果に研究チームは驚いた。人が書いたメッセージのリンクよりも、AIが作成したメッセージのリンクのほうが、はるかに多くクリックされていたのである。

どれだけ普通な感じなのでしょうね? クリック率の話を聞く限りスゴイのだと思います。

この前書いた、頭の悪そうな「詐欺メール」が来たので、読み込んでみたなレベルなら全然わかりますよ。これ未だに多くあるようです。

研究チームは、モデルのアウトプットを複数のサーヴィスにかけることで、メールを送信する前に流れ作業のように文面を校正するラインを組んだ。その結果、完成した文章は「不気味なほど人間らしく」なったという。しかも自動化されたプラットフォームであるにもかかわらず、驚くほど細部にまで凝った文章が出力されたという。例えば、シンガポール在住者に向けて生み出されたコンテンツでは、シンガポールの国内法について言及されていた。

ロボットとかの分野だと、不気味の谷現象というのがあります。WIREDの記事:ロボットが人間に嫌われる「不気味の谷」が証明される:研究結果。あまりにも似ているのでですが、なんとも違和感があり気味が悪い感じで、この谷を超えればほぼ不自然でなくなるというもの。

不気味なほど人間らしい…ようなので、ここには谷がなさそうです。クリック率を考えると逆にコワイ感じすらします。

どうすればいい?

フィッシング自体は今にはじまった事でもなく色々と巧みになって来ていますが、古典的な騙しの手口です。スマホや携帯のSMSで届く宅配便関連やAmazonなどに偽装したメッセージは本当にうざったいです。

1.SMSで届くものは電話番号で送られてくるので、番号変えない限りは届くものと考えるしかありません。こんなののために番号変えられない。

⇒メッセージを送ってきた本家(本物の宅配便会社やAmazonなど)のページで確認するか、飛んできたメッセージを検索して確認すればOKです。件名も有効です。面倒ですが、こういう積み重ねはセキュリティ以外でも役に立つ習慣となるはずです。

2.メールで届くものも、メアド変えるとか現実的でないので調べる。メアド変えても結局は、どこかから漏れ同じことになる。

 なのでリンク(送信元や連絡先のメールアドレス)を踏む前に、リンク先を調べる。

3.リンク先に行ってしまったら、リンク先のアドレスを検索する。

⇒こんなことしなくてもいいような気がしますが、本物を偽物を見分けるにはこれしかないと考えます。もしも本物のメールだったら、何かのサービスが止まったり、失効したりと面倒なことになります。一手間かけて調べる習慣!地道な努力です。

現段階では、検索でほぼヒットするはずです。釣られる前に自分で調べるしか手立てはありません。AIの不気味なほど人間らしいものが出回った時までには、何らかの検知方法が出てくるものと思います。セキュリティのいたちごっこです。

これらは古典的なものなので、以前からある対策方法でしかありません。面倒なことになる前に、自身で確認をする。これらセキュリティ意識を習慣化することのが大切です。

The following two tabs change content below.

新倉茂彦

TCNIC Co., Ltd. 代表取締役 / セキュリティプロデューサー / M.B.A. 経営情報学修士 / 密教学修士ブログ
日々,目の前で起きる「セキュリティ」なことだけを考えています。表があれば裏があるように、様々な視点から見て考えるように意識しています。 人の「こころ」に興味を持ち、仏教的アプローチからセキュリティを探求中。

何をどこからどのようにすれば?との質問が多くあります

リモートワーク担当者支援パック

急激な社会環境変化により従来の概念や方法では解決できないことが多くなりました。

従来の業務は会社の中で行う → モバイルを活用して場所と時間の制約が無くなった → 自宅などの会社以外の場所で通常と同じレベルの作業が求められる(現状のリモートワーク)

労働・雇用環境の変化に応じて基準となる「就業規則」も変えなければなりません。同時に業務を進めるために「最低限のセキュリティ」も確保しなければなりません。

しかし教育も体制もない中、どのように進めればいいのでしょうか?と問合せが増えています。