一部のハッキング攻撃は長期戦を仕掛け、複雑な手口を使って相手の警戒心を徐々に解こうとしたり、多段階の手法で脅威を送り込んだりするが、その一方で、より直接的なアプローチを好む攻撃も存在する。フィッシングのような、恐怖や欲望といった感情を狙うソーシャルエンジニアリング攻撃の場合、その影響はほぼ即座に現れる。新しい報告によれば、こうした詐欺によってアカウントが不正取得されるまでにかかる時間は、攻撃されてからわずか1分だという。
60秒でハックされる
AIの台頭は、サイバーセキュリティを含むほぼすべての産業に影響を与えている。防御側はAIを活用して急速に進化する脅威からデータを守る体制を整える一方、攻撃側もAIを活用して攻撃活動を行っている。こうした状況がもっとも顕著に見られるのが、フィッシングの分野だ。
セーフティ・ディテクティブスのリサーチャーであるシプラ・サンガネリアが米国時間4月23日に発表した報告書によれば、「ChatGPTやその他のLLM(大規模言語モデル)のような生成AIツールの登場により、詐欺師は正規の組織が書いたような文体を完全に模倣できる上に、極めてパーソナライズされ、説得力があり、文法的にもほぼ完璧なメッセージを作成できるようになった」という。
これらのフィッシング攻撃は、手口が高度化するだけでなく速度も上がっている。調査結果によれば、平均すると「ユーザーがフィッシング詐欺に引っかかるまでに要する時間は約60秒」であるという。具体的には、メールやSMSに記載されたフィッシングリンクをクリックするまでに21秒、そして偽装されたログイン画面にアカウントの認証情報を入力するまでに追加で28秒かかることが判明した。
攻撃を受けてからハックされるまで、わずか1分未満。もしこれを聞いて危機感を覚えないなら、残念ながら何を言っても無駄だろう。
迅速化する詐欺師からハックされないために
サイバー犯罪者がもたらすリスクに対処するためには、個人も企業も、攻撃者が進化に合わせて変化しているのと同様に自らも適応していくことが不可欠だ。サンガネリアは「常に情報を収集し、積極的に対策をとることで、フィッシング詐欺による被害を抑え、デジタル社会での安全性を高められる」と結論づけている。これを無視すれば、60秒でハックされる人々の仲間入りをしてしまう可能性が高まるだろう。より詳しい対策については、フィッシングへの対策方法を参照するとよい。
参考:
・フィッシング対策協議会「フィッシング対策ガイドライン」
・警視庁「フィッシング対策」
・情報処理推進機構(IPA)「ここからセキュリティ! 情報セキュリティ・ポータルサイト」
