編集部
サイバー犯罪者が、生成AIのリーダー企業であるOpenAIを装い、ユーザーから金融情報を詐取する大規模なフィッシングキャンペーンを展開している。この手口は、ChatGPTのサブスクリプション支払いが拒否されたとの通知を送り、支払い方法の更新を促すリンクをクリックさせるというものだ。信頼性を装う巧妙なメールデザインが特徴であり、送信元は「info@mta[.]topmarinelogistics[.]com」と不審なドメインを使用している。
研究者は、攻撃者が生成AIツールを駆使して今後も手法を高度化させる可能性に警鐘を鳴らしており、特に企業における防御策の強化が急務であると指摘する。従業員教育を通じて、フィッシングメールの見分け方を学び、予期しない要求の精査や不審なメールの確認が推奨される。KnowBe4は、世界中の多くの組織に対し、セキュリティ文化の浸透とリスク低減を支援している。
OpenAIを偽装した新手のフィッシング手法とその脅威の実態
今回のフィッシング攻撃は、ユーザーに対して「ChatGPTのサブスクリプション支払いが拒否された」と偽り、支払い情報の更新を誘導する手法を用いている。このメールには、あたかもOpenAIからの正式な通知であるかのような体裁が施されており、内容の信頼性を高めるための工夫が随所に見られる。特に、支払い情報のリンクが毎回異なるURLに設定されていることから、ユーザーを巧妙に欺こうとしていることが明らかだ。
KnowBe4の調査では、フィッシングメールの送信元がOpenAIとは無関係の「info@mta[.]topmarinelogistics[.]com」というドメインを利用しており、これがメールの信頼性に疑いを持たせる手がかりとなっている。この事実は、メールの内容やリンクが信頼できるかどうかを判別するための基本的なスキルを必要とする一方で、サイバー攻撃の手口がいかに高度化しつつあるかを示している。
生成AIの進化と悪用がサイバー攻撃に与える影響
生成AIの進化がサイバー犯罪者に新たな攻撃手段を提供していることは、セキュリティ分野で大きな懸念事項となっている。フィッシングメールの内容をよりリアルにするためにAI技術が利用され、従来の手口と比較して一層見破りにくい偽装が可能になった。KnowBe4の研究者は、今後さらに高度なAI技術が悪用され、詐欺行為の手口が進化していく可能性を指摘している。
従来のフィッシング手法は比較的単純なものだったが、AIの進化により、自然な文脈や言葉遣いでの偽装が容易となり、受信者が疑う余地を持たないまま情報を盗まれる危険性が増している。こうした状況を踏まえ、企業側は従業員に対してフィッシングの見分け方や対策を含むセキュリティ教育を強化し、進化する脅威に備えることが求められている。
KnowBe4のセキュリティ意識トレーニングがもたらす効果
セキュリティ対策の専門企業KnowBe4は、サイバー攻撃の手法が多様化する中で、従業員教育が最も効果的な防御策の一つであると提唱する。同社の提供するセキュリティ意識トレーニングは、日々の業務の中で従業員が巧妙なフィッシングメールを見抜くスキルを養うことを目指している。
同社は、従業員が予期しない要求や不審な活動に気づくための知識と判断力を持つことが、組織全体のリスクを大幅に低減すると述べている。さらに、模擬フィッシング攻撃を活用することで、実践的な学習を通じてサイバー攻撃への対抗力を高めることができる。KnowBe4が推奨する対策は、単なる防御ではなく、長期的なセキュリティ文化の構築を目指した包括的なアプローチといえる。