AIを悪用した攻撃から社員を守るために必要な知識と対策

👀ますます巧妙化、増大する攻撃への処方箋

近年、生成AIを悪用したディープフェイク攻撃をはじめとする、AIを駆使した巧妙なサイバー攻撃が急増しています。これらの攻撃はますます巧妙化しており、社員が騙されてしまうリスクが高まっています。

実際、フィッシング詐欺メールの件数は2024年の後半から急激に増大し、24時間365日、のべつ幕なしに送られてくるほどとなり、それに伴って被害件数も増大の一途を辿っています。

このような状況にあっては、経営者としては社員に対してどのような知識を提供し、どこに注意を払うべきか、明確に伝えることが重要です。

この記事では、社員教育の必要性と具体的な対策方法について解説します。

AIを悪用した攻撃とは?

まず、AIを悪用した攻撃の代表例であるディープフェイク技術について理解しておくことが重要です。ディープフェイクは、AIを使用して偽の映像や音声を作成し、実際の人物の声や顔を模倣する技術です。

この技術を使って、攻撃者は企業内で信頼されている人物になりすまし、従業員に不正な指示を出すことが可能です。

具体例:ディープフェイクを用いた企業詐欺

例えば、攻撃者が企業の経営者や上司の顔や声をコピーし、緊急の送金依頼や機密情報の提供を求めるメールや音声メッセージを社員に送信します。このような攻撃は、社員が身近な人物からの指示だと信じ込んでしまうため、気づかずに情報を漏洩したり、金銭的な被害を受ける可能性があります。

また、AIを使えば、言い回しなども含め、本物に似せた内容のメールなども素早く大量に作ることができます。

1通では不審と思われてしまうメールも、手口を変えて何通も送信すれば、そのうち1通くらいは騙されてしまう可能性も出てきます。AIを使うことで、犯罪者は攻撃を成功させる確率を上げているのです。

✅社員に伝えるべき知識

社員がディープフェイクをはじめとするAIを悪用した攻撃から騙されないようにするためには、以下の知識を伝えることが重要です。

📣(1) 不審な要求には慎重に対応する

攻撃者は、緊急性や重要性を強調することで社員を心理的に圧迫し、判断力を鈍らせようとします。例えば、「今すぐ送金しないと大きな損失を出す」などの脅し文句を使います。このような要求があった場合、冷静に確認することが重要です。

  • 具体例: 緊急の送金依頼が来た場合、必ず上司や経理部門に確認する。
  • アクション: 社内での確認手順を明文化し、緊急時でも必ず確認を取るように教育。

📣(2) 目に見える内容に疑問を持つ

ディープフェイク攻撃は、音声や映像が非常にリアルであるため、簡単に信じ込んでしまう可能性があります。しかし、攻撃者は必ずしも完璧な映像や音声を作成できるわけではありません。細かい不自然な点や違和感を感じた場合は、疑念を持つことが重要です。

  • 具体例: 上司の音声メッセージが突然届いた場合、内容に違和感を感じたら、電話で直接確認する。
  • アクション: 映像や音声が本物かどうか疑う癖をつける。

📣(3) 個人情報の取り扱いに注意する

ディープフェイクは、個人情報や過去の会話を使って作成されることもあります。そのため、社員は個人情報の取り扱いについても厳格な管理が求められます。企業内での情報共有や保存方法にも注意を払い、機密情報が簡単に外部に漏れないように教育することが重要です。

  • 具体例: 同僚との会話で共有した個人情報が、不正に利用されるリスクについて理解する。
  • アクション: 情報の保存や共有方法を見直し、必要以上に情報を共有しないように徹底する。

✅経営者が取るべき対策

経営者としては、社員教育を定期的に実施することが必要です。また、AIを悪用した攻撃に対応するためには、次のような対策が有効です。

📌(1) 定期的なフィッシング訓練の実施

定期的にフィッシング訓練やディープフェイクを含むサイバーセキュリティ訓練を実施し、社員が実際の攻撃に備えるようにすることが効果的です。訓練では、実際にディープフェイクを使用したシナリオを組み込み、社員がリアルな状況に対処できるようにします。

  • 具体例: 代表者からの偽の指示メールを社員に送信し、どれだけの社員が警戒心を持って反応できるかを測定する。

📌(2) AIを使用した攻撃に対する技術的な対策

コストや使用頻度などを考えると、今の段階では現実的とは言えないものの、企業側では、ディープフェイクを検出するための技術を導入することも一つの手段となります。例えば、音声や映像の偽造を見抜くAIツールを使用することで、攻撃のリスクを減らすことができます。

  • 具体例: ディープフェイク検出ツールや音声解析ツールを導入し、社内での偽の指示や情報漏洩を防止する。

📌(3) セキュリティポリシーの強化

AIを悪用した攻撃に対するセキュリティポリシーを強化し、どのようなケースでも冷静に対応できる体制を整えます。例えば、送金や機密情報提供に関する二重確認のルールを設けることが有効です。

  • 具体例: 送金や重要な操作は、必ず二重確認の手順を踏む。

攻撃者はこうした備えに対して「本件は会社の命運を左右するほどの極秘の対応だから誰にも知らせてはいけない」などともっともらしい理由を付けて他者に気づかれるのを阻止しようと企みますが、たとえ社長であっても二重確認を厳守することが絶対のルールであると定めておけば、「他の誰にも知られてはいけない」と言うこと自体がおかしいと気づくきっかけとなります。

🎯まとめ

AIを悪用した巧妙な攻撃は、ますます増加しています。ディープフェイク技術を使った攻撃は、社員が騙されてしまうリスクを高めますが、社員教育とセキュリティ対策の強化によって防ぐことができます。

経営者としては社員に適切な知識を提供し、定期的な訓練を通じて社員を守る環境を整えることが最も重要です。

新たな脅威に対応するために、日々のセキュリティ意識を高めるセキュリティ教育に投資を行うことも、経営者にとって大事な判断の一つであると考えます。

投稿者アバター
キットマスター 標的型攻撃メール対応訓練実施キット開発者
プログラマ、システムエンジニアであり、情報セキュリティの分野では現役の標的型攻撃メール訓練実施担当として10年以上にわたり、毎月どこかしらで標的型攻撃メール訓練を実施している、訓練実施のエキスパート。
自己紹介の全文を表示