オルタナティブ・ブログ > 新倉茂彦の情報セキュリティAtoZ >

~攻撃は最大の防御なり~正解のない対策を斜めから斬る

近々フィッシング詐欺メールにもAIが騙しにくるかもしれない

»

そんなにAIって興味ないのですが、前回もAIな話題でした。前回ブログ:顔認証の40%以上を突破するAI技術で判別不能なスッピンを思い出す。まだレベルの低い判別可能なものが多いので大丈夫な感じでしょうか?

説得力のあるフィッシング詐欺のメールを、AIが人間よりうまく"書く"時代がやってきた

今回の最新の実験結果はシンガポール国立テクノロジー庁のチームが手がけたもので、8月上旬にラスヴェガスで開催されたセキュリティカンファレンス「Black Hat」と「DEF CON」で発表された。

研究チームは、メンバー自身が作成した標的型フィッシングメールとAIaaSプラットフォームが作成したフィッシングメールを、同僚200人に送信した。どちらのメッセージにもリンクが含まれており、実害は与えないもののクリックスルー率を研究チームに報告する仕組みになっていた。

この結果に研究チームは驚いた。人が書いたメッセージのリンクよりも、AIが作成したメッセージのリンクのほうが、はるかに多くクリックされていたのである。

どれだけ普通な感じなのでしょうね? クリック率の話を聞く限りスゴイのだと思います。

この前書いた、頭の悪そうな「詐欺メール」が来たので、読み込んでみたなレベルなら全然わかりますよ。これ未だに多くあるようです。

研究チームは、モデルのアウトプットを複数のサーヴィスにかけることで、メールを送信する前に流れ作業のように文面を校正するラインを組んだ。その結果、完成した文章は「不気味なほど人間らしく」なったという。しかも自動化されたプラットフォームであるにもかかわらず、驚くほど細部にまで凝った文章が出力されたという。例えば、シンガポール在住者に向けて生み出されたコンテンツでは、シンガポールの国内法について言及されていた。

ロボットとかの分野だと、不気味の谷現象というのがあります。WIREDの記事:ロボットが人間に嫌われる「不気味の谷」が証明される:研究結果。あまりにも似ているのでですが、なんとも違和感があり気味が悪い感じで、この谷を超えればほぼ不自然でなくなるというもの。

不気味なほど人間らしい...ようなので、ここには谷がなさそうです。クリック率を考えると逆にコワイ感じすらします。

どうすればいい?

フィッシング自体は今にはじまった事でもなく色々と巧みになって来ていますが、古典的な騙しの手口です。スマホや携帯のSMSで届く宅配便関連やAmazonなどに偽装したメッセージは本当にうざったいです。

1.SMSで届くものは電話番号で送られてくるので、番号変えない限りは届くものと考えるしかありません。こんなののために番号変えられない。

⇒メッセージを送ってきた本家(本物の宅配便会社やAmazonなど)のページで確認するか、飛んできたメッセージを検索して確認すればOKです。件名も有効です。面倒ですが、こういう積み重ねはセキュリティ以外でも役に立つ習慣となるはずです。

2.メールで届くものも、メアド変えるとか現実的でないので調べる。メアド変えても結局は、どこかから漏れ同じことになる。

 なのでリンク(送信元や連絡先のメールアドレス)を踏む前に、リンク先を調べる。

3.リンク先に行ってしまったら、リンク先のアドレスを検索する。

⇒こんなことしなくてもいいような気がしますが、本物を偽物を見分けるにはこれしかないと考えます。もしも本物のメールだったら、何かのサービスが止まったり、失効したりと面倒なことになります。一手間かけて調べる習慣!地道な努力です。

現段階では、検索でほぼヒットするはずです。釣られる前に自分で調べるしか手立てはありません。AIの不気味なほど人間らしいものが出回った時までには、何らかの検知方法が出てくるものと思います。セキュリティのいたちごっこです。

これらは古典的なものなので、以前からある対策方法でしかありません。面倒なことになる前に、自身で確認をする。これらセキュリティ意識を習慣化することのが大切です。

Comment(0)