MEDIA_ARTICLE

生成AIによる不正手口の変化について

公開日
最終更新日

昨年から広く話題になり、企業活用も広がりつつある生成AI。 業務やクリエイティブ等を飛躍的に効率化し、生活をより便利にできる一方で、悪用された場合の危険性はとても高いものになります。
今回は生成AIの不正使用リスクについて考えていきます。

生成AIとは

一説によると、AIという言葉は1960年頃に誕生し、何度もAIブームは起こってきました。生成AIは十年近く前に登場してきたものと言われていますが、2022年OpenAI社の「ChatGPT」が大きな話題となり、社会的な認知とともに世界的にユーザー数が激増しました。

各社AI事業への参入や強化も報道され、今では企業での生成AI活用も広がりつつあります。

手軽に利用できる生成AIは、その膨大なデータから検索エンジンや各種ツールに取って代わり、調べものや文章の作成、音楽やデザインづくりにも活用が可能な革新的技術になります。

一般的な正しい使い方をすると様々なことに活用することができますが、悪用された場合には大きなリスクをはらんでいます。
(詳細に何が“正しい使い方”かという点は法整備など含め、議論が必要かと思います。)

既に生成AIを用いた不正の事例や懸念も騒がれていますが、直近ではダークウェブ上にサイバー犯罪者のためのAIツールが展開されているという報道もなされおり、EC業界における影響についても計り知れません。

不正へのAI利用

これまでも不正犯はあの手この手を駆使してECサイトにアタックを繰り返し、セキュリティ対策の穴を突いてきましたが、生成AIの悪用による更なる巧妙化が懸念されます。

考えられる例としては下記です。

  • 不正アタックのツールとして悪用
  • 偽サイトの文章、規約などの作成
  • 真正ユーザーを装ったEmail作成

不正犯は決済時に、存在しない情報やランダムに振り出した情報を入力、または、他人の情報を不正取得、なりすましてアタックを行いますが、ここで生成AIを使われることでごく自然なEmailアドレスや注文者名などあらゆる情報を簡単に大量生成できるようになります。

また、これまで不正犯によって作成された偽サイト(ミラーサイト)は、どこか日本語に違和感があることや、実在するECサイトからコピペした内容のため、社名が異なるなど見分けがつきやすい状況でしたが、生成AIを利用することで違和感のない文章の作成が可能です。

試してみました

試しに生成AIに「一般的なECサイトのプライバシーポリシー」を聞いてみたところ、それらしい体裁の文章がものの数分で出来上がりました。

同様に、メール作成に使用されることで、これまでは違和感のあった不正犯の文章や言葉遣いおいても、より自然な内容に変化することが考えられます。

どのように防ぐか

各種AIには毎日のように大量の学習データが集められ、加速度的に精度が向上するとともに、ECサイトに寄せられる表面的な情報では不正判別が難しくなっていきます。
これまで大変な労力をかけ目視チェックをされてきた企業様も多いかと思いますが、
ある時点からその難易度が高まるものと予想しております。

今後の不正を防いでいくためには、ユーザーの入力内容だけではなく、システム的に取得のできるデータの活用、購買挙動データの積み上げによる分析、ひとつのサイトから読み取れるデータだけではなく、複数のサイトをまたいで参照するようなネットワーク効果を駆使した対策など、より広く深いデータを用いた対応が必要になります。

おわりに

革新的な技術により便利な世の中になる一方で、その弊害や悪用のリスクについても考え対処しなければいけません。
不正ユーザーはセキュリティの弱いサイトを見抜くと、一気に攻撃を仕掛け、長期間にわたりアタックを繰り返します。

不正検知サービスASUKAは、導入ハードルを下げ、短期間で実装可能な設計としています。
今後の対策のご不安や、現状の課題など何かございましたらお気軽にお問い合わせください。


SHARE