ソーシャルエンジニアリング専門で書かれている本はこれまでにも何冊か見られますが、本書は2023年の新刊だけあって、AIを使ったソーシャルエンジニアリングについてにも言及されているところが他とは違うといったところでしょうか。
ソーシャルエンジニアリングに関する攻撃手法が、これでもかというくらい盛り込まれており、その対策も書かれているのですが、従来言われていること以上のことはありません。ざっくり言えばリテラシー向上させましょう、ということで、人間心理に対する攻撃なため、この分野がイタチごっこで特効薬的な防御手段ないのが難しいところです。
ソーシャルエンジニアリングの心理学
ソーシャルエンジニアリング攻撃で使用される戦術は、以下6つの原則から成っている。
- 互恵性: 他人から何かもらったりしてもらうと、何か見返りを与えなきゃという気持ちが少なからず芽生える。
- コミットメントと一貫性: 何かを一度約束すると、約束やインセンティブが多少変化しても、その約束を守る可能性が高い。
- 社会的証明: 人の行動は、ある場所での他人の行動に影響を受ける。
- 権威: 権威のある人物(権威ある風に装っているものも含む)の命令には従う可能性が高い。
- 好意: 好意を持つ相手の言うことは聞き入れやすい。
- 希少性: マーケティングでよく使われるアレ
これらを上手く使って、標的を欺く。
ソーシャルエンジニアリング攻撃の種類
大きな分類だと、以下のように整理されている。
- フィッシング
- ベイティング
- ダンプスターダイビング: 実際に企業等に侵入して、ゴミ箱などを漁り機密情報を入手する。
- 尾行
- 見返り: まず無料でサービス提供し、見返りを要求する(お金配りなどはこれ)
- もっともらしい口実
- 水飲み場攻撃
攻撃のチャネルは変化しているものの狙いは昔から変わらずで、やはり前述の心理的な特性をついて攻撃成立を目論んだものである。
ソーシャルエンジニアリングにおけるAIの利用
攻撃手段としても、ディープフェイクやLLMを活用はこれからますます増えていくだろうと予測される。
- フィッシングメール文面の高度化: 現在では変な日本語文面で詐欺である
のが丸わかりだが、文面では区別がつかなくなる。 - ディープフェイク音声: 声を学習し、電話などで標的の知人の声で喋り相手を騙す。
- ソーシャルメディア操作: コンテンツの自動生成やインフルエンサーになりすます。Amazonなどの商品レビューは見分けがつかなくなっていく。
個人的には、ただでさえ電話だと、他人の声と息子の声が区別のつかない高齢者が多いのに、ディープフェイク音声がLLMで生成した応答をほぼリアルタイムでしゃべるようになると、かなり悪用されるのではないかと予想する。
これらのAIを活用したソーシャルエンジニアリング攻撃は新たな脅威ではあるものの、もちろん防御にもAIが活用されていくので、こちらも新たなイタチごっこになっていくことが想像される。
まとめ
ソーシャルエンジニアリングは、結局は自衛によって回避するのが最終防御壁で、その役割が他のセキュリティ攻撃に比べて大きい。ニュースなどに目を通し、様々な攻撃手段についての知識を得ることがその対策であると、本書でも述べられている。