Check Point Software Technologiesは5月28日(米国時間)、「From Phish to Phish Phishing: How Email Scams Got Smart - Check Point Blog」において、有名な国際的詐欺「ナイジェリア詐欺(別名:ナイジェリアの手紙)」の進化を例に、生成AIがフィッシング詐欺に与える影響について解説した。

From Phish to Phish Phishing: How Email Scams Got Smart - Check Point Blog

○過去のナイジェリア詐欺

ナイジェリア詐欺は1980年代ごろから確認されている古典的な詐欺手法。先進国の豊かな人々、または不特定多数の個人に対して資金洗浄への協力を持ちかける。協力に応じると振込手数料と口座情報の提供を求められるが、手数料が窃取されるだけで資金洗浄は実行されない。場合によっては口座に不正アクセスされてすべての資金を引き出される。

2000年代以降、この詐欺はインターネットの普及に伴い、電子メールを使用して不特定多数を標的にするようになった。また、内容も資金洗浄から変化し、多額の資産を受け取れるかのように見せかけて何かしらの手数料を要求するようになった。この頃の詐欺の文面には翻訳ミスと思われる文法上の誤りや、滑稽な間違いが散見された。

○生成AIにより進化したナイジェリア詐欺

Check Pointは生成AI(ChatGPT)が発表される前年、2021年のナイジェリア詐欺のメールを複数確認している。そのうちの1つは大金の入ったATMカードを利用したもので、カード受け取りの手数料を要求する。

2021年に確認されたナイジェリア詐欺メールの例 引用:Check Point

2022年11月、OpenAIは高度な生成AIチャットボット「ChatGPT」を発表した。Check PointによるとChatGPTの登場により、詐欺師は文法上の誤りを改善できるようになったほか、より高度なフィッシング詐欺を容易に実行できるようになったという。

OpenAIもこのような悪用を認識して防衛策を講じているが、詐欺師はプロンプトを調整することで悪用を続けているとみられている。Check Pointは詐欺が進化した例として、QRコードを利用したフィッシング詐欺を解説している。

QRコードを使用したフィッシング詐欺メールの例 引用:Check Point

このメールは確定拠出年金(401k)の残高確認を求めるもので、QRコードを読み取るように要求する。QRコードを解析するとAppleのWebサイトにアクセスするとみせかけたURLが得られるが、実際は攻撃者のフィッシングサイトにリダイレクトされる。このリダイレクトもユーザーの環境に応じて変化するように調整されており、セキュリティ研究者などが安全な方法でアクセスするとブロックされるという。

セキュリティソリューションがフィッシングサイトを検出して警告する画面 引用:Check Point

○影響

詐欺師は今後さらに効果的に生成AIを悪用できるようになるとみられている。Check Pointはその結果としてフィッシング詐欺が簡単になり、防御は難しくなるだろうと警告している。また、セキュリティ企業もAI(Artificial Intelligence)を使用した防御戦術を進化させるとみられており、将来はAIによる熾烈な競争に発展すると推測されている。