標的型攻撃メールは年々巧妙化しており、特にAIの進化がその手口に大きな影響を与えるようになっています。具体的には、攻撃者はAIを駆使することで、よりリアルで信じやすいメールを作成し、ターゲットに接近します。本章では、標的型攻撃メールにおけるAI技術の影響とその進化が攻撃手法に与える変化について、詳細に触れていきます。

標的型攻撃メールの手法にはいくつかの特徴があります。まず、攻撃者はターゲットの企業や組織を事前に調査し、個人情報やメールアドレス、交友関係などを把握します。そして、ターゲットが信じやすい内容や信頼できる送信者を装い、メールを送信します。多くの場合、攻撃者は受信者が関心を持ちやすい情報や重要な通知を装い、受信者を巧妙に騙して悪意あるリンクをクリックさせるのです。
生成AIは人を模倣する能力が高く、結果的に人を欺くことにも長けています。わずかなキーワードで自然なテキスト、画像、音声を生成することができます。これにより、今後のセキュリティーリスクとしてどのような問題が生じるか、もう少し考えてみましょう。

まず、フィッシングメールの高度化についてです。生成AIによって誤字や文法ミスが減少し、正規のメールとの区別が難しくなっています。これまで日本語の壁があった海外のサイバー犯罪者も、生成AIを活用することで、より自然なフィッシングメールを作成できるようになっています。さらに、AIは文章だけでなく音声や画像も生成できるため、フィッシングサイトの大量生産や高度化も進んでいます。2022年には、ChatGPTを使ってフィッシングメールを作成し、リバースシェルの実行まで可能にする事例が報告されているように、攻撃の手口も進化しています。

次に、ディープフェイクの悪用についてです。AI技術を活用し、画像や動画、音声を合成することで、本物のように見せかけた詐欺が可能になっています。2023年には、中国で友人を装ったビデオ電話による詐欺が発生し、約8500万円がだまし取られました。これは、AIの顔変換ソフトを利用しなりすましを行ったケースで、今後同様の手口が増加することが懸念されています。

当社は、こうした新たな脅威に対応するため、AIを活用した訓練サービスを提供し、企業のセキュリティー強化に貢献しています。このサービスの具体的な内容について、次章以降で詳しくご紹介します。

サイバー攻撃の進化に伴い、企業のセキュリティー教育がどのように変化すべきかについて考えていきましょう。近年、標的型攻撃は急速に高度化し、巧妙さを増しています。そのため、単一の対策だけでは防ぎきれないことが明らかになり、多層防御が求められています。技術的対策としては、UTMやEDR、メールセキュリティーなどが広く導入されていますが、これだけでは不十分であるという認識が広がっています。

その中で特に重要なのは、人へのセキュリティー教育です。最終的に情報資産を扱うのは人間であり、そのセキュリティー意識が組織全体の防御力を左右します。その中で、従来の教育訓練が時代に合ったものになっているのか、疑問を持つべきです。なぜなら、従来のテンプレートに頼った訓練では、最新の脅威に対応することができません。また、従業員の習熟度に合わせた個別の教育や、訓練効果の適切な評価が行われていないケースも見受けられます。

この課題に対して、AIを活用したセキュリティー教育の革新が進んでいます。AI技術を取り入れることで、業種や部署、役職に応じたオーダーメイドの訓練を少ない負担で実施し、従業員が実際に直面するであろう脅威に基づいた教育が可能となります。

さらに、訓練結果に基づいて次回以降の教育計画を調整し、年間を通じてセキュリティーリテラシーの向上を図ることが可能です。企業はセキュリティー教育の負担を軽減しつつ、セキュリティーの意識を強化していくことができます。

このスライドはAIを活用した訓練・教育サービスの特徴を説明したものです。私たちのサービスでは、AIRONWORKS社（以下、同社と記載）のセキュリティー教育訓練プラットフォームを利用して提供しています。この会社は2021年に設立され、AIを基にした訓練教育プラットフォームを開発してきた日本のメーカーです。現在、500社以上が導入しており、30万人以上のユーザーが利用しています。

同社の特徴としては、世界有数の開発技術が挙げられます。最高技術責任者は国家の特殊部隊に所属していた経験があり、ホワイトハッカーとしての知識を活かして、実際のハッカー攻撃への対策を訓練プラットフォームに反映させています。さらに、運用から教育コンテンツの配信までを完全自動化し、各訓練教育フェーズの自動化を進めることで、大幅な工数削減を実現しています。

AIを活用するメリットとしては、AIが情報収集やテキスト生成を得意とするため、短期間での訓練準備が可能になったことがあげられます。例えばこれまで以上に多様な訓練シナリオを提供することができるようになりました。

従来の教育訓練サービスでは、人間がテンプレートを用意し、時事問題を反映させていましたが、これには時間がかかります。また、最近の標的型攻撃は職務に関連する内容に引っかかりやすいため、各部門に適した訓練が必要ですが、これを人手で準備することはさらに手間と時間を要します。AIを活用することで、リアルタイムで時事問題などの情報を収集し、職務や業界に対応した内容を訓練メールに反映できるようになります。

加えて、同社の教育訓練プラットフォームでは、200種類近くの教育コンテンツが既に用意されており、教育段階に応じて最適なコンテンツを提案できます。これらのコンテンツもまた、AIが最新の事例や脅威を収集し、即時に更新を行うことで、常に最新の情報を維持しています。

このように、同社のAIを活用した教育訓練プラットフォームは、効率的かつ効果的な訓練を実現し、組織全体のセキュリティー意識の向上に寄与しています。これからの時代、AIの力を借りて教育サービスの進化を遂げることがますます重要になると思います。

最後に、標的型攻撃メールのリスクを最小限に抑えるために、訓練を段階的に進める重要性について説明します。この方法で、企業のセキュリティー対策の習熟度を高めることができます。

標的型攻撃メールの対策には、進化する攻撃手法に対応できる継続的な教育と訓練が不可欠です。なぜなら、攻撃者は企業の組織構造に合わせて攻撃を仕掛けるため、従業員の役職や部署ごとに、直面する脅威は異なります。そのため、単発の訓練では実際の脅威に対応できない可能性があります。これを解決するためには、段階的な訓練が効果的です。

標的型攻撃メール対策における段階的な訓練は、セキュリティー意識の向上にもつながります。まず最初は一般的な脅威から始め、徐々に攻撃の巧妙さを増し、企業特有の情報を活用したものや部署ごとの業務に特化した内容へと進化させます。このような段階的な訓練は、従業員が実際の攻撃に遭遇した際に冷静に対応できる能力を養うために非常に重要です。

当社サービスは、年間利用型のサービスを提供し、1年間にわたり訓練・教育・評価分析を繰り返すことで、従業員のセキュリティー意識を高め、組織全体のリスク管理能力を向上させます。特に、攻撃の難易度を5段階に分けて進めることで、従業員は着実にスキルアップし、複雑な脅威にも対応できる力を養うことができます。

また、当社では各部署に応じたカスタマイズ訓練も可能です。例えば、営業部門には企業特有の攻撃への警戒心を高め、技術部門には高度な攻撃手法への対応能力を養う訓練を提供します。部署ごとの訓練内容を調整し、最適な訓練を通じて標的型攻撃メールへの習熟度を向上させるのです。

この訓練プログラムは、定期的な評価と分析により弱点を明確にし、重点的に習熟度の向上ができます。また、結果に基づくフィードバックで意識を高め、次回の改善点が明らかになります。

このように、標的型攻撃メール対策には、継続的かつ段階的な教育と訓練が効果的です。当社サービスを活用すれば、企業のセキュリティーレベルが向上し、従業員も高度な攻撃に冷静に対応できるようになります。

• ChatGPTはOpenAI OpCo, LLCの登録商標です。
• AIRONWORKSはＡｉｒｏｎＷｏｒｋｓ株式会社の登録商標です。