増加するヴィッシング／スミッシング／フィッシング攻撃：ChatGPT 登場から 1,265%急増

Vishing, smishing, and phishing attacks skyrocket 1,265% post-ChatGPT

2024/02/29 HelpNetSecurity — 企業の 76% においては、ボイス／メッセージング詐欺対策が不十分である、その一方では、ChatGPT がリリースされた以降において、AI を利用するヴィッシング／スミッシングが急増していることが、Enea の調査により明らかになった。

企業に対するモバイル詐欺と多額の損失

企業の 61％ が、モバイル詐欺による大きな損失を、いまだに被っている。その中でも、最も多発しているのはヴィッシングとスミッシングであり、被害額も大きい。

通信サービス・プロバイダー (CSP：Communication Service Provider) の加入者のうち、企業が占める割合は大きく、その収益に占める割合は更に大きい。企業は、通信関連の不正行為から自社を守るために CSP に依存しており、その 85％ が、通信サービスを契約する際にセキュリティを重視／最重視していると答えている。

ヴィッシング／スミッシング／フィッシング攻撃は、2022年11月に ChatGPT が開始されて以来、なんと 1,265% も増加している。

企業の 61% は、モバイル・メッセージング詐欺のコストが大きいと答えている一方で、75% 以上が、SMS スパム／音声詐欺／詐欺などの対策に対して投資していない。

51% は、音声詐欺およびモバイル・メッセージング詐欺から、通信事業者が守ってくれることを期待していると回答している、その役割は、クラウド・プロバイダー／マネージド IT プロバイダー／システム・インテグレーター／ダイレクト・ソフトウェ・アベンダーよりも重要だと捉えられている。

しかし、メッセージング・ファイアウォールを導入していると答えた CSP は 59%であり、シグナリング・ファイアウォールの導入は 51%に過ぎなかった。46% が、何らかの脅威インテリジェンス・サービスの導入を回答しているが、基本的に大半の CSP は、新しい脅威や変化する脅威に対して、感覚的に疎いという状況にある。

セキュリティを優先する CSP は ビジネスで有利な立場に

セキュリティを優先する CSP 事業者たちは、より優れた能力／より優れた資金調達／より高いセキュリティ優先度などを備えており、セキュリティ侵害が未検出／未処理に終わる可能性については、セキュリティ対策が不十分な事業者の比較で半分以下になる (12％対25％) と主張している。さらに、彼らは、セキュリティを収益を上げる機会として捉える傾向が高い (31％対19％) 。

Enea の SVP／Head of Network Security である John Hughes は、「我々は、脅威の急速な進化を観測しており、特に AI を活用した手法が、サイバー犯罪者にとって悪用しやすくなっていることに懸念を抱いている」とコメントしている。

彼は、「特に、ChatGPT のような高度な技術の出現に伴い、モバイル詐欺が著しく増加していることから、ネットワーク・セキュリティ対策の強化が不可欠であることが浮き彫りになった。今回の調査は、企業の期待と、大半の CSP の能力との間に、大きな断絶があることを浮き彫りにしており、我々の継続的な使命は、このギャップを埋め、ネットワークとユーザーを保護する手助けをすることである」と締め括っている。

CSP にとって、モバイル・ネットワークのセキュリティの維持／強化は、永遠の課題である。モバイル・ネットワークは常に進化しているため、さまざまな新たな脅威の要因に、絶えず脅かされている。これらの脅威の要因は、目的は異なるかもしれないが、いずれも脆弱性を悪用し、数百万人の加入者や企業に影響を与え、修復に多大なコストがかかる侵害の可能性を持つものだ。

CSP は、このギャップを埋めるために、潜在的なセキュリティ侵害に対処する熟練スタッフの不足／適切なセキュリティ・ツールに投資する予算の不足／セキュリティの優先順位を妨げる組織内部の複雑さなどの課題を、克服していかなければならない。

こうした脅威に対する防御が、今後の CSP (Communication Service Provider) に求められるのでしょうか。たしかに、他のサービス・プロバイダーのしごとではありませんし、頼れるのは CSP のみとなりそうな感じがします。とは言え、この種のセキュリティ対策には、多大なコストが必要になるはずです。将来的には、セキュリティ・レベルに応じた料金体系などが、提示されるようになるのでしょうかね？ よろしければ、Phishing で検索も、ご利用ください。