標的型攻撃、サイバー攻撃に利用される生成AIについて解説

この記事は約4分で読めます。

生成AIとは何か?

厳密な定義はありませんが、プロンプト(指示文)やユーザーが入力した条件によってイラスト、動画、音声を創造するAIの事を指します。
日本でもマッチングアプリの広告イラストに生成AIが利用されるなど、生成AIを利用したコンテンツが目につき始めています。

しかし便利な技術は悪用される事が多く、世界的に生成AIが標的型攻撃サイバー攻撃に利用されています。

生成AIが悪用された事例

生成AIが悪用される事例は様々ですが、目に見える事例としてディープフェイクと呼ばれる偽の動画や画像の生成です。日本でも岸田首相が卑猥な言葉を話すフェイク動画が拡散され、問題になりました。

また、生成AIを利用したフェイク動画や画像は戦時下の世論形成敵国の士気低下停戦の為の世論誘導などに多く利用されています。
実際、ロシアのウクライナ侵略時にゼレンスキー大統領が市民に投降を促すフェイク動画がFacebookやX(旧Twitter)などのSNSで拡散されました。

また、2023年に発生したイスラエル・ガザ戦争でも環境活動家のグレタ・トゥンベリ氏がミサイル使用を呼びかけるフェイク動画が拡散され、イスラエル、ハマス双方共に市民の虐殺を示唆するフェイク動画や画像が拡散されました。

現代型の戦争である「ハイブリット戦争」では戦略目標達成のために、サイバー攻撃や心理戦も戦術に含まれており、生成AIを活用したフェイク動画や画像の拡散は敵対国や敵対組織の士気低下、自国の国威発揚のための常套手段となっています。

中国による台湾侵攻の危機の発生とそれに伴う日本への軍事的緊張の発生により、今後日本でも士気低下や社会的混乱の煽動、戦意喪失を目的としたフェイク動画や画像は拡散されると予測できます。

生成AIはサイバー攻撃、標的型攻撃にどう利用されるか?

前段では生成AIの悪用を分かりやすく解説するため、フェイク動画で解説しましたが、サイバー攻撃では様々な部分で悪用され始めています。

マルウェアの生成

ChatGPTには悪用のあるプロンプトを拒否するプロテクトが存在しますが、それでもChatGPTのプロテクトを回避する方法があり、Kindleでもその手口が販売され問題になりました。

また、マルウェアの作成をChatGPTへ依頼すると拒否されますが、マルウェア作成のための、コード作成を分散して依頼すれば結果的にマルウェアの作成が可能になります。

ダークウェブ上ではマルウェアを生成するAIが取引されており、生成AIの登場によりマルウェアの生成は、よりかんたんに高度になっています。

ディープフェイクの素材作成

前段でご紹介した岸田首相やゼレンスキー大統領のディープフェイク動画の作成はもちろんのこと、マイクロソフトの音声学習モデルの「VALL-E」から派生した「VALL-E-X」を利用すれば、指定の人物に指定の音声をしゃべらせる事も可能で、ソーシャルエンジニアリングに利用される事が懸念され、実際米国では個人、企業へのソーシャルエンジニアリング攻撃(オレオレ詐欺)に利用されています。

さらに、ウイルス対策ソフトのメーカーである「ESET」が自社のCEOの声を生成AIで作成し、その音声で不正送金させる実験に成功しています。(CEOには事前許可を得ての実験)

技術的にもリアルタイムで指定人物の音声を悪用する事も可能で、もはや音声すらも信用できない時代になっています。

標的型攻撃メールの生成

生成AIを利用して、より開封・クリックされやすい自然なフィッシングメールが生成され、標的型攻撃メールへの悪用が懸念されています。

生成AIを利用すれば、日本語が分からない他言語者でも自然な文法でメールを作成でき、さらにシュチュエーションによって自社の顧客やソフトウェアベンダーを語るなど一見するとフィッシングメールだと分からない内容も作成可能です。

また、WormGPT FraudGPTなどサイバー犯罪者向けにフィッシングメールの作成やサイバー攻撃を支援するAIも存在し標的型攻撃は、よりかんたんに高度に進化しています。

生成AIを活用した標的型攻撃、サイバー攻撃に対処するには?

基本的な入口、内部、出口対策はもちろんの事ですが、前段の事例の通り音声や動画での攻撃は容易になっています。
その為、組織のリテラシーを上げることが最もコストパフォーマンスのよい対策といえます。

是非情報セキュリティの定期的な社内教育、標的型攻撃メール訓練などをご検討ください!

まとめ

生成AIはプロンプトやユーザーの条件に基づき、イラストや動画を創り出す技術で、日本でも広く利用されています。
しかしながら、サイバー攻撃では生成AIがマルウェア生成や標的型攻撃メールの作成に悪用され、そのリスクが増大しております。

従って、組織はリテラシーを向上させるために情報セキュリティの教育や訓練を実施することが必要です。

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました