編集部
サイバー犯罪者がOpenAIを装い、企業の支払い情報を狙う大規模なフィッシング攻撃が発生した。この攻撃は、バラクーダの脅威研究者により発見され、攻撃者は「緊急の支払い情報更新」を求める手法で被害者に接近。メッセージはOpenAIからの正式な連絡に似せており、不審なリンクを用いるなど精巧に仕組まれている。
ジェネレーティブAIツールの登場以降、サイバー攻撃の高度化が懸念される中、詐欺師はAIを利用し、フィッシングメールの信頼性や巧妙さを向上させている。バラクーダの分析によれば、特定のドメインを使い分け、メールごとに異なるリンクを挿入するなど、従来の攻撃手法が進化。企業はAI駆動のメールセキュリティソリューションや、従業員へのセキュリティ意識向上トレーニングを強化し、進化するリスクへの備えが必要とされている。
攻撃者が用いる巧妙な手口とOpenAIのブランド悪用の実態
バラクーダの脅威研究者によると、今回のフィッシング攻撃はOpenAIを装ったメールが発信されているが、その内容は非常に巧妙で、正当なOpenAIの連絡を思わせる構成となっている。たとえば、偽の送信者アドレス「info@mta.topmarinelogistics.com」を使用し、正当な企業ドメイン(@openai.com)と異なるアドレスが用いられたことで警告サインが存在する。しかし、多くのメールがDKIMおよびSPFの認証をクリアしており、受信側が正当な連絡と誤認する可能性が高い。
攻撃者は「緊急の対応」を求めるメッセージ構成やサポートメールアドレス(support@openai.com)などで信頼性を装い、受信者の注意を引きつけている。さらに、メールごとに異なるハイパーリンクを含むことで、セキュリティ検知を巧妙に回避しており、このような「動的リンク」の使用は攻撃者が意図的に追跡やブロックを避けるための一手法と考えられる。サイバー犯罪の巧妙化は進み続けており、ブランド力を活用した攻撃が今後も増加する兆しが見られる。
ジェネレーティブAIがもたらす脅威の進化と企業の対策
ChatGPTの登場以来、AI技術の普及がフィッシング攻撃の新たな局面を迎えている。特にジェネレーティブAIの導入により、犯罪者が説得力のあるフィッシングメールを作成することが容易になった。この点について、セキュリティ企業フォレスターのアナリストは、AIが犯罪の手口を「拡張しやすく、より精緻にする」可能性があると警告しているが、一方で攻撃手法自体が根本的に変わったわけではないと述べている。
2024年のベライゾン「データ侵害調査報告書」によると、AI関与の攻撃事例はまだ100件未満とされる。しかし、AI技術の進展により詐欺行為の効率性が増す中、企業には高度なメールセキュリティツールの導入が不可欠である。機械学習を活用したAI駆動のセキュリティ対策は、従来のフィッシングやスパムメールの検知に加え、今後予測されるAI活用の攻撃に対しても有効な防御策となりうる。
セキュリティ意識の向上とインシデント対応の強化が急務
フィッシング攻撃の被害を最小限に抑えるためには、セキュリティ意識向上のための教育が不可欠である。従業員に対するトレーニングを定期的に実施し、不審なメールや緊急を装うメッセージへの対処法を周知することが求められる。たとえば、正規の連絡に見せかけるフィッシングメールの見極めや、不審なリンクを慎重に確認することの重要性は企業文化の一環として浸透させるべきである。
また、インシデント対応を自動化するツールの導入も重要である。万が一防御を突破された場合でも、悪意のあるメールや不審なリンクを迅速に削除するシステムにより、被害の拡大を防ぐことができる。バラクーダのようなセキュリティ企業の発表は、AI時代におけるセキュリティ体制の再構築が急務であることを示唆している。