本業:ブロックチェーンビジョナリーとして企業の可能性を引き出すサポートをしています。副業:人々が想像したことを実現できるよう支援しています。
ハッカーから身を守ることはますます難しくなっています。安全を確保するために知っておくべきことをご紹介します。
厳しい現実:従来の対策はもはや通用しない
ソーシャルエンジニアリングは常にハッカーが用いる最も効果的な手法でしたが、AIによってはるかに危険なものへと変貌しました。「フィッシング攻撃は2023年に58.2%増加し」、2022年のChatGPT登場以降、フィッシング攻撃は4,151%増加しています。
これは理にかなっています—AIによって、私たちがフィッシング攻撃を見分けるために頼ってきた多くの警告サインが消えてしまったのです。LLMチャットボットは、平均的なハッカーの限界を克服し、あらゆる言語やコンテキストで正確で信頼性の高いフィッシングコミュニケーションを作成します。かつては通信のスタイルでスキャムを見分けることができましたが、今日のAI生成攻撃は正当なコミュニケーションを巧みに模倣します。
完璧すぎることは疑わしい:2つの実体験
この変化は最近、2つの洗練された攻撃として私自身に影響しました。1つ目はCoinDeskからの限定ラウンドテーブルへの招待に見えるものでした。メールでの確認を求めると、彼らは同意しました。エンジニアリングに時間がかかりましたが、私の受信トレイに届いたメールは完璧に見え、Gmailの「coindesk.com」検索さえも欺きました。
何か違和感があったので、セキュリティチームに調査を依頼しました。そうして本当に良かったのです。彼らは巧妙な詐欺を発見しました:「coindesk」の「i」は実際にはアクセント記号付きの「ì」だったのです。これらの攻撃者は私や他の人々をターゲットにして、Xアカウントの接続に誘導するためにcoìndesk.comというドメインを購入していたのです。
2つ目の攻撃はLinkedInを通じてきました—フォームを通じていくつかの質問に答える専門的なコンサルテーション依頼でした。すべてが正当に見えましたが、最後の「ビデオ確認」リクエストまでは。「許可する」をクリックしていたかどうかはわかりませんが、幸いにもセキュリティソフトウェアがそれを事前に検出し、マルウェアのインストールを防いでくれました。
信頼の新たな風景
これらは孤立した事例ではありません:フィッシングキャンペーンの40%が「今や従来のメールを超えて拡大している」のであり、「上級幹部はAI駆動のパーソナライズされた攻撃の被害に遭う可能性が23%高い」のです。その多くは優れた文章力を持ち、特に優れたコミュニケーターをターゲットにしています。
音声フィッシング攻撃も2024年に442%増加し、信頼される人物になりすますためにAI生成の声を使用しています。大企業におけるフィッシング侵害の平均コストは488万ドルであることを考えると、これらは憂慮すべき傾向です。
新たな環境で自分を守る方法
「確認」リクエストを決して信用しない
正当な企業が確認のために自分を録画するよう求めることはありません。この戦術はあなたが自分自身を証明したいという欲求を刺激し、警戒心を下げさせ、「確認ソフトウェア」を通じてマルウェアをインストールすることを可能にします。
見知らぬ相手からのすべての許可リクエストを拒否する
正当な企業は、特に勧誘されていないコミュニケーションを通じて、あなたのソーシャルメディアアカウントを接続したり、システム権限を与えたりするよう求めることはありません。
ランディングページを分析する
企業のメインウェブサイトに接続されていないページに誘導された場合は疑いを持ち、フォームが企業の主要ドメインでホストされていることを確認してください。
独立した検証のために連絡を取る
常に連絡先の信頼性を独自に確認してください。正しいドメインからのメールは良いですが、公に掲載されている従業員からの確認はさらに良いでしょう。
見知らぬ相手からのファイルは決してダウンロードしない
この規則に例外はありません。いくらお金が提示されても、勧誘されていないコミュニケーションからコード、スクリプト、ファイルをダウンロードしないでください。
心理的トリガーを認識する
以下に注意してください:
• 大きな、具体的な金額(貪欲さを刺激)
• 確認リクエスト(検証ニーズの悪用)
• 緊急性を示す言葉(迅速な決断を強制)
• お世辞や排他性(警戒心の低下)
取引を公開しない
オンチェーンで取引する場合は、SilentSwapのようなシールディングツールを使用してプライバシーを維持し、個人を特定する情報に接続するENSドメイン名を使用しないでください。
高度な保護:ドメイン認識
URLを注意深く調べることを学びましょう。私が経験したCoinDesk攻撃はIDNホモグラフ攻撃を使用していました—Unicodeキャラクターが偽のドメインを本物と同じように見せることができる国際ドメイン名です。以下を探してください:
• 微妙な文字の置き換え(iの代わりにì)
• 余分な文字や欠けている文字
• 異なるトップレベルドメイン(.comの代わりに.co)
• 不審なサブドメイン
対応が必要な重要な状況では、メールヘッダーを調査し、DNSレコードを確認し、SSL証明書を検査するか、クリックする前にセキュリティ専門家の意見を求めてください。不審なファイルを主要システムでテストしないでください。
業界の脆弱性
異なるセクターは異なるターゲットパターンを引き付けます。金融、医療、政府はAI駆動攻撃の最大のターゲットです。新入社員は特に脆弱で、「最初の90日間にフィッシングクリック率が44%高くなる」傾向があります。これは彼らが規範を学び、同調することに不安を感じている時期だからです。
今後の道筋
セキュリティ思想リーダーたちは、2025年までに私たち全員が毎日AIによる攻撃を受けるようになると予測しています。最も効果的な防御は、技術的ソリューションと懐疑心を組み合わせたものです。セキュリティ専門家の95%がAIサイバーセキュリティツールが防御を強化すると考えており、これは私たちがAI対AIの未来に向かっている可能性を示唆しています。
効果的に自分を守るためには、明確な検証プロトコルを確立し、人間の判断に依存しない技術的コントロールを実装し、セキュリティを意識した行動が報われる職場文化を育むべきです。
攻撃はますます洗練され、頻繁になるでしょう。しかし、適切な情報を持っていれば、最も高度なAI駆動のソーシャルエンジニアリングキャンペーンからでも自分を守ることができます。
覚えておいてください:AIが数分で数千の説得力のあるフィッシングメールを生成できる世界では、最良の防御は体系的な懐疑心です。目標はすべてのリスクを排除することではなく、騙されにくいターゲットになることです。
