Phishing Surges Ahead, as ChatGPT & AI Loom
2023/02/10 DarkReading — 2022年後半にキャンペーン量が大幅に増加するなど、フィッシングが勢いを増している。今週に発表された分析では、フィッシング・メールの総量は下半期に 61% も増加していたという。また、ChatGPT などの新しいツールの台頭により、この分野の勢いも加速する可能性がある。メール・セキュリティ企業である Vade が 2月9日に発表した Q4 2022 Phishing and Malware Report によると、フィッシング攻撃の量は 2022 Q3〜Q4 で 36% 増加しており、研究者たちは 2022年10月〜12月の3月間で、2億7830万件のユニークなフィッシング・メールを調査したとのことだ。
マルウェアの全体量も 2022 Q3〜Q4 比較で 12%増となっており、Vade が 2022 Q4 に検出した、マルウェアを含むメールは 5,890万件にのぼるという。
Vade の Content Marketing Manager である Todd Stansfield は、「eメールは依然としてフィッシング/マルウェアの配布に最も適したチャネルであり、ハッカーにとって便利で拡張性があり、また、ユーザーを悪用してアカウント侵害する効率的な手段だ。eメールによる脅威は増加し続けており、あらゆる規模の組織において、サイバー・セキュリティを強化する必要性が生じている」とレポートで指摘している。
このレポートによると、 Q4 前半のフィッシングの件数は比較的安定しており、10月には 6,230万件/11月には 4,700万件のフィッシング・メールが報告されている。
しかし、毎年恒例のホリデーシーズンの典型的な傾向だが、脅威アクターは年末年始をテーマにした、さまざまな誘い文句で被害者を陥れようとする。2022年の 12月にも、フィッシング・メールが 1億6900万通と大きく増加し、前月比 260%増となったことが研究者たちにより明らかにされている。このパターンは、2021 Q4 に見られたものと類似しているという。
信頼できるターゲットと手口
フィッシングの標的や手段に関して脅威アクターたちは、現在の企業ユーザーの業務や共同作業の方法を考慮した上で、特別な工夫をしているわけではない。
Facebook は、6ヶ月連続で成りすましのトップ・ブランドとなり、2022 Q4 にFacebook を装うフィッシング URL が、6,700 件に達したことが確認されている。脅威アクターが成りすましに好んで用いるブランドとしては、Facebook に続いて、Microsoft/PayPal/Google/Netflix などがランクインしている。
脅威アクターのターゲットについては、企業ユーザーが多くを占めているが、フィッシングの成功率が高い生産性アプリケーションを標的とした、キャンペーンに価値が見出だされる傾向が続いていることが判明した。Vade によると、3億 4500万人以上のユーザーを抱える Microsoft 365 と、2番目に人気の高い生産性スイートである Google Workspace は、2022年後半も脅威アクターたちの上位ターゲットとなったという。
Stansfield は、「生産性向上ソリューションの普及に伴い、ファイル共有/インスタント・メッセージなどの生産性向上アプリを利用するために、ユーザーが eメールを用いるというケースが増えている。それに注目した脅威アクターたちが、企業の生産性スイート・ユーザーの特定の行動をターゲットにして、フィッシング・キャンペーンを作り上げている」と付け加えている。
AI と新しいツールがフィッシングを強化
フィッシング・キャンペーンという視点が同じであっても、この種の脅威の他の側面が変革していることも、研究者たちの調査で明らかになった。特に、より洗練された Phishing-as-a-Service (PaaS) キットや、AI プラットフォーム ChatGPT の急速な普及により、スキルが低い人であっても、フィッシングの脅威アクターとなり得る新しい局面が訪れている。
Stansfield は、「初心者のハッカーであっても、フィッシング・キットを購入することで、ターゲットに対して非常に説得力のある、効果的なスキームを展開できる」と述べている。
これらのキットにおける最近の機能強化の1つは、被害者の母国語にターゲットを絞り込んだ、フィッシング・ページの自動的なローカライズ機能だと、研究者たちは述べている。この機能により、脅威アクター自身がマルチリンガルでなくても、短時間で様々な地域を標的にできるようになるという。
この機能は、標的となるユーザーのブラウザの言語設定を識別し、それに応じてフィッシング・ページを更新/表示するものである。Vade は、この新機能により、各フィッシング攻撃の文脈上の正確さが向上する一方で、ハッカーは1つのキットを使って複数の言語のユーザーをターゲットにすることが可能となり、キャンペーンの到達範囲を拡大できると述べている。
Vade のアナリストたちによると、OpenAI が 11月にリリースして以来、すでにサイバー・セキュリティへの影響で悪名高い、誰でも瞬時に大量のコンテンツを作成できるチャットボット ChatGPT も、脅威アクターの強い味方になってきたとのことだ。
ハッカーは ChatGPT を介して、数秒でフィッシング・メールや悪意のコードを書き込めるようにするためのコマンドを使い、高度なフィッシング・キットを効率的に作成できるという。
フィッシングから企業を守る
フィッシングは、サイバー犯罪の最も古い手法の1つであるにもかかわらず、衰える気配がない。したがって、企業も脅威アクターと同じように、テクノロジー環境の変化に対応する必要があることは明らかだ。
Stansfield は、Vade の過去の調査結果を引用し、「過去1年間で、10社中7社近くが、eメール・セキュリティをバイパスした深刻なデータ侵害を経験している」と指摘している。
さらに、フィッシングの問題は、脅威アクターに認証情報を窃取されるだけには留まらないという点だ。脅威アクターたちは、盗み出した認証情報を使って企業ネットワークに侵入し、データの窃取やマルウェア配布などの、悪質な行為に及ぶ可能性がある。
企業は、従来のメール・セキュリティ・ソリューションを超えて、脅威アクターたちの高度な戦術に対応できるものを、採用する必要があると研究者たちは述べている。具体的には、最新の脅威インテリジェンスと AI 技術のコアセットを使用して、既知/未知の脅威に対する予測的防御を提供できる、コラボレーション/AI 強化ソリューションが今後の方向性になるだろうと、Stansfield は述べている。
Vade の Co-Founder/Chief Tech and Product Officer である Adrien Gendre は、「実際に、ChatGPT のような技術により、AI が脅威アクターに力を与えているように、新しいタイプのセキュリティで企業に力を与えることもできる。裏を返せば、我々は AI を使って、コンテンツ自体から、それらのメールに含まれる可能性のあるファイルの挙動にいたるまで、メールの異常を検出している。良い AI と悪い AI と呼ばれるものの間で、戦いが起こるだろう」と Dark Reading に語っている。
サイバー・セキュリティ会社 Tenable の Senior Research Manager である Scott Caveza は、「フィッシング・メールが組織のセキュリティ保護をすり抜けた場合に備えて、それをクリックする前に、従業員がフィッシング・メールを特定できるように訓練することも、クレデンシャル侵害やマルウェア配布を事前に防ぐ確実な方法になる。
フィッシング攻撃は、セキュリティの最も弱い部分である人間をターゲットにしているため、成功し続けている。メールの作者が AI であろうと実際の人間であろうと、組織はフィッシング攻撃を見抜くための特定のトレーニングを含む、セキュリティ意識向上トレーニングを優先すべきだ。それぞれの組織は、成熟したセキュリティ・プログラムに投資し、開発する必要がある」と述べている。
文中にもあるように、昔からの攻撃手法であるフィッシングは、いまもなお、最も効果的な手段であるという統計値ですね。ランサムウェアやダークウェブが収益減となった 2022年においても、しっかりと成長しているようです。そこに、ChatGPT が参入してくる 2023年は、どのような展開になるのでしょうか。
2023/02/03:ChatGPT はサイバー攻撃の中核になる?
2023/01/31:書いたのは ChatGPT なのか? 人間なのか?
2023/01/28:ChatGPT でセキュリティを強化
2023/01/25:ChatGPT:Prompt エンジニアリングへ
2023/01/24:ChatGPT 問題: AI を騙して悪用するのは簡単だ
2023/01/18:マルウェア開発:継続的な変異により検出が困難になる
2023/01/13:人工知能の倫理をバイパスするロシアのハッカーたち
2023/01/06:フィッシング/BEC/マルウェア開発に利用できる?
IoT OT Security News 
You must be logged in to post a comment.