AIで作る!フィッシング訓練ページ作成ガイド

最近の攻撃者はAIを使って非常に巧妙なメールやサイトを作ってきます。それに対抗するには、こちらもAI(Gemini)を「ホワイトハッカー」として味方につけるのが一番の近道です。

自社でフィッシング詐欺に対応した訓練を実施しようとした場合、フィッシング詐欺ページの作り方もわからないし、どうやって訓練をやればよいのかもわからないし、ということで、業者に委託して訓練を実施しているという会社も多いと思います。

しかし、Chat GptやGoogle Geminiを代表とするAIの進化により、今ではあまり専門知識が無くても、AIを使ってフィッシング詐欺ページを作り、訓練を実施することができるようになっています。

このページでは、GoogleのAI「Gemini」を活用し、エンジニアでなくても数分でハイクオリティなフィッシング訓練用ページを作成するガイドをお届けします。

1. なぜ「自作」の訓練が必要なのか?

市販の訓練ツールも便利ですが、自社の「実際に使っているツール(例:Slack, Microsoft 365, 社内ポータル)」に似せたページを作ることで、従業員の「自分ごと化」が一気に進みます。

Geminiを使えば、HTMLやCSSの知識がなくても、プロンプト(指示文)ひとつで本物そっくりのデザインが生成可能です。

市販の訓練ツールで実施できる訓練だと、ページの内容をカスタマイズできなかったり、できても一部だけだったりして、今ひとつ物足りないと感じている方もいらっしゃるのではないでしょうか?

2. Geminiへの「プロンプト」のコツ

Geminiに依頼する際は、**「これは教育目的であること」**を明示するのがポイントです。単に「偽サイトを作って」と言うと、安全機能で拒否されることがありますが、目的を明確にすれば強力な助っ人になります。

プロンプト例:

「セキュリティ意識向上のための訓練を実施します。Microsoft 365のログイン画面に似た、教育用のHTMLとCSSを作成してください。ただし、送信ボタンを押すと『education.html』という解説ページに移動するようにし、実際のパスワードはどこにも送信しない仕様にしてください。」

3. 訓練ページの「三種の神器」

Geminiにコードを書かせるときは、次の3つの要素をセットで依頼しましょう。

① 「エサ」となるログインページ

本物と見間違えるクオリティを目指します。

  • Geminiへの指示: 「企業のロゴを配置できるスペースを作って」「レスポンシブ対応(スマホで見ても崩れない)にして」

② 「種明かし」の教育ページ

ここが一番重要です!騙された直後に表示し、どこに違和感を持つべきだったかを教えます。

  • Geminiへの指示: 「URLの確認方法や、不自然な日本語のチェックポイントを箇条書きでまとめた解説ページを作って。親しみやすい口調で。」

③ 「怪しい」誘い文句(メール文面)

サイトだけでなく、そこへ誘導するメール文面もGeminiに作らせましょう。

  • Geminiへの指示: 「システム管理者を装った、緊急性を煽るメール文案を3パターン作成して(パスワード期限切れ、不正アクセス検知など)。」

4. 実施時の「鉄の掟」(セキュリティ担当者向け)

AIで簡単に作れるからこそ、以下のルールは必ず守りましょう。

  1. データの収集は「クリック数」まで: パスワードそのものを入力・保存させる設定には絶対にしないでください(訓練用でもリスクになります)。
     
  2. 経営層の承認を得る: サプライズすぎると社内パニックになります。「今週、抜き打ち訓練があります」と予告しておくのも手です。
     
  3. 責めない文化: 引っかかった人を責めるのではなく、「報告してくれてありがとう!」と言える空気感が、本物の攻撃を防ぐ鍵になります。

5.作成したページを実際の訓練で使えるように設定する

実際にプロンプトをGeminiに入力してみると、次のように、あっという間にページのコードが作成されます。作成されたコードを用いて、実際の訓練で使用できるよう設定してみます。

なお、ここでは「標的型攻撃メール対応訓練実施キット」が標準で提供している「URL転送サービス」を利用して、実際の訓練で使用できるよう設定します。といっても、やることは、以下の3つだけです。

1.Geminiが生成したコードにJavaScriptのコードを貼り付ける。
赤枠部分のコードをGeminiが作成したフィッシングページのコード内に貼り付け、phishPage.htmlとして保存します。

education.htmlについては、修正が必要であれば修正します。修正が必要なければそのままでも構いません。

2.修正したコードを「URL転送サービス」にアップロードする。
phishPage.html及び、education.htmlを「標的型攻撃メール対応訓練実施キット」のURL転送サービスにアップロードします。

3.アップロードしたファイルを選択して訓練用のURL設定を完了させる。

6.設定したURLに実際にアクセスしてみる

「標的型攻撃メール対応訓練実施キット」をご利用の場合は、Geminiで生成したコードを一部修正し、「URL転送サービス」にアップロードして訓練用のURLを設定するという手順でフィッシング詐欺訓練実施の準備が整いますので、生成されたコードのデザインなどを大幅に修正するというのでなければ、ものの10分もあれば、フィッシング詐欺訓練を実施する準備を整えることができます。

必要な修正はコピペだけで終えられるので、JavaScriptはよくわからないという方でも実施準備ができることがおわかりいただけるのではないかと思います。

以下は、Geminiが生成したコードを用いて設定したフィッシング詐欺訓練のサイトの例です。
これだけのクオリティのページが、専門知識がなくてもコピペだけで、しかも10分程度で設定できてしまうのであれば、業者にわざわざ委託しなくとも自社で十分実施できてしまうと思いませんか? 

まとめ:AIで「守る力」をアップデートしよう

これからのセキュリティ対策は、AIを使いこなす攻撃者との知恵比べです。 Geminiを「教育コンテンツ制作のパートナー」として使い倒し、組織の防御力を楽しく、スマートに高めていきましょう!

AIで作成したオリジナルのフィッシング訓練ページを使って標的型攻撃メール訓練を実施したいとお考えなら、JavaScriptなども自由に設定できる「標的型攻撃メール対応訓練実施キット」のご活用を是非ご検討ください!

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示