IBMの調査によると、AIのフィッシング能力は人間と同等であることが判明

この研究は、フィッシングメールの作成において AI と熟練した人間のエンジニアを対決させるという中核的な実験を中心に展開されています。研究者らは、OpenAI LPのChatGPTに5つのカスタマイズされた質問を与え、AIが業界固有のフィッシングメールを作成するように導きました。

結果は驚くべきもので、生成 AI モデルはわずか 5 分で説得力のある欺瞞的なフィッシング メールを作成することができました。一方、人間社会の専門家であるエンジニアは、同じ作業を完了するのに約16時間を要しました。

研究により、AI によって生成されたフィッシング メールは、人間の攻撃者が生成したメールとほぼ同等の効果があることが判明しました。人間のエンジニアはオープンソースのインテリジェンスを使用して情報を収集し、その情報を使用して個人的なタッチ、感情的知性、信頼性のある電子メールを作成します。人間が作成した電子メールはメッセージに緊急感を与えることもあり、こうした利点があるにもかかわらず、テストにおける AI のパフォーマンスは依然として人間のパフォーマンスに近いものであり、この分野における AI の可能性を示しています。

結果は非常に劇的だったため、参加者は脱落したと、IBM X-Forceのグローバル・イノベーションおよびデリバリー・ディレクターのステファニー・カラザーズ氏は調査の中で述べている。

「私はソーシャル エンジニアとして 10 年近くの経験があり、何百ものフィッシング メールを作成してきましたが、AI が作成したフィッシング メールでさえ、かなり説得力があると思います」と Carruthers 氏は説明します。「実際、当初この研究プロジェクトへの参加に同意した 3 つの組織のうち、2 つの組織は、成功率が高いと予想したため、2 通のフィッシング メールを見ただけで完全に撤退しました。」

実験では人間が僅差で勝利したものの、フィッシングにおける人工知能の台頭を過小評価してはならないと研究は指摘している。フィッシング機能を備えた AI ツールがさまざまなフォーラムに登場しているという事実は、将来の展望を物語っています。

この調査では、AI によるフィッシングの増加に対抗するために、企業がデジタル防御の強化を検討すべきであるとの提言がいくつかなされています。 1 つ目は、特に従業員が疑わしいメールや予期しないメールに遭遇した場合に検証が必要になることです。従業員はデジタル証拠だけに頼るのではなく、送信者に直接電話して懸念事項を明確にし、潜在的な問題を防ぐ必要があります。

企業はトレーニング モジュールを変更することをお勧めします。フィッシングメールは主に文法上の誤りやスペルの誤りによって識別できるという古い考えは、より微妙な違いのあるトレーニングに置き換える必要があります。ビッシング（音声ベースのフィッシング）などの高度な手法を従業員のトレーニングに取り入れることで、より包括的な防御戦略を実現することもできます。

この調査では、フィッシングから保護し、セキュリティをさらに強化するために多要素認証メカニズムを導入するなど、企業にアイデンティティおよびアクセス管理システムを強化することを推奨しています。

「フィッシング攻撃における AI の出現により、サイバーセキュリティへのアプローチを再評価する必要が生じています」と Carruthers 氏は付け加えました。「これらの推奨事項を採用し、進化する脅威に対して警戒を怠らないことで、防御を強化し、ビジネスを保護し、今日のダイナミックなデジタル時代においてデータと人々を安全に保つことができます。」