執筆者
M.O.
身近なサイバー犯罪
ドメイン名紛争処理についてきましたが、ドメイン名紛争処理もまだまだ興味深い事例がありますので、こちらの紹介もまたしていきたいのですが、正義感をテーマにやるなら、もうちょっと今身になるような危機感について考えていきたいと思います。
そこで今回は直近のサイバー犯罪について、その傾向についてお話したいと思います。
警視庁の統計資料
さて、国内における直近のサイバー犯罪について、直観的にわかりやすいのはこちらだと思います。"警視庁が発表している、「令和7年度上半期におけるサイバー空間をめぐる驚異の情勢等について」"です。
https://www.npa.go.jp/publications/statistics/cybersecurity/index.html
サイバー犯罪について考えていく上で、その取り締まりを行う警視庁が公式に発表する資料というのは、間違いなく参考になるであろうことは、皆さんにも容易に理解していただけると思います。
実際の例を挙げながら、近年のサイバー犯罪における傾向等について語られています。
ここでまず注目すべきは、AIについて触れられている点です。
「不正プログラム、フィッシングメール、偽情報作成への悪用、兵器転用、機密情報の漏えいといった、AI を悪用した犯罪のリスクや安全保障への影響が懸念されている。」
との一文について、皆さんもAIの悪用について聞いたことはあったとしても、上記のような事例について、どの程度の見識をお持ちでしょうか。
AIを活用した犯罪
フィッシングメールの高度化
AIというと、何か人間が簡単には考えつかないような高度な作業をしているイメージの方も多いでしょうが、ここではフィッシングメールの改良が、AIによって行われている点に触れられています。
◆銀行・カード会社を装う
大手銀行やクレジットカード会社を名乗り、サイトへのアクセスを促し、利用履歴の確認を促すようなチェーンメール
◆通販サイトを騙る
大手通販サイトを騙り、荷物の再配達に関する確認事項等を騙り、同じくメール内に記載されたリンクへのアクセスを促す内容
例えば、
大手銀行やクレジットカード会社を名乗り、サイトへのアクセスを促し、利用履歴の確認を促すようなチェーンメールに見覚えはあるでしょうか。
もしくは大手通販サイトを騙り、荷物の再配達に関する確認事項等を騙り、同じくメール内に記載されたリンクへのアクセスを促す内容などです。
これらについては、
私自身にも肌感覚として理解できるものがあります。
というのも、以前までは明らかに不自然で不十分な内容で、その上、中国語の漢字が日本語に変換しきれていないような印象を受けたことがあります。
それに対して、近年一部のフィッシングメールについては、パッと見の印象では本当かもしれないという印象を与えてくるのです。
当然、
冷静に考えれば身に覚えがないものなので、被害にあったということはありませんが、お年寄りや若年層といった比較的リテラシーが低い世代においても、こういったある種のサイバー攻撃と呼べるものの対象となってしまうわけですから自分だけでなく家族等にまで注意を払う必要があると言えるでしょう。
上述したような、フィッシングメールの高度化にはAIによる影響があるとのことです。
母国語で書いた文章を攻撃対象の言語に書き換えることはもちろん、
本物の文章を学習として与え、より本物に近い文章を生成できるようになっているのでしょう。
フィッシングメールの見分け方
フィッシングメールについて、見分けるヒントとされるのは以下の項目です。
01 送信者の確認
メールの送信者が正規のアドレスか確認する
02 リンク先の検証
リンク先が記載と一致しているか、またリンク先のドメインは正規のものか
03 添付ファイルの点検
添付ファイルに拡張子などの不審な点は無いか
AIによる脅威は不安を駆られる面も大きく取沙汰されますが、
こういった不審なメールの確認について、逆にAIに聞いてしまうのも手ではないでしょうか。
今度受け取ったら、AIがどんな回答をするのか、私自身も試してみようかと思います。
生成AIに関するサイバー犯罪
生成AIを悪用したフィッシングサイト
生成AI関連のサイバー犯罪事例という点においては、国内での実例が挙げられています。
生成AIを悪用して大手ECサイトのフィッシングサイトを公開した事例です。
事件の発生自体は、2024年となりますが、使い手次第でいかようにもできるという、生成AIの性質について、その一端を見せる事例と言えるでしょう。
マルウェア作成事例と偽情報の拡散
また、本資料には掲載されていませんが2024年には同様に、生成AIを用いてマルウェアを作成した人物が逮捕される事例も起きています。
こちらは国内初の事例として、大きく話題を呼んだ事例です。
詳細は、
多く語られてはいませんが対話型の生成AIを用いて、「自分はセキュリティを担当する職務についている」といったプロンプトを与えることで、直接では警告が表示されるはずの生成AIの挙動を避けつつ、不正なプログラムの実例が入手可能な場合があるとの報告もあります。
AIの悪用については、
SNSにおける偽画像の拡散などもあります。
これは、災害の情報や事件の拡散に見せかけて実際には存在しないAIの生成による画像を用いることで、あたかも真実かのように見せかけて拡散するという内容です。
リテラシー向上の重要性
残念ながら、サイバー犯罪においても、AIにおいても、便利な物には必ずと言っていいほどに、悪用する人間も存在するのだなという印象を受けてしまいます。
しかし、
我々のリテラシーが少しでも向上することで、正しく便利に、悪用する者には利が無いように、少しずつでも目指す姿勢が大事でしょう。
