そんなChatGPTに世界中が注目する一方、プライバシーの侵害や人間の仕事に与える影響、技術の悪用などの懸念も指摘されています。たとえば、もしAIが人間よりもうまい文章を作れるなら、人間の“書く”仕事を奪われてしまいかねません。
中でも懸念されているのが、フィッシング詐欺分野への進出です。実際に「ChatGPTを悪用すれば説得力の高いフィッシングメールを生成できること」が各国のセキュリティ企業から報告されています。中には、AIが作った文章のほうがクリック率が高かったという皮肉な結果も。
そこで今回は、「迷惑メールの見極めテスト」をご用意しました。ChatGPTの優れた技術を“悪用”した詐欺メールをあなたは見分けられるでしょうか?また、詐欺メールの見分け方や対策についても詳しくお伝えしていきます。
ChatGPT VS コピーライター:迷惑メールの見極めテスト3選
ここでは、「ChatGPTの技術を悪用したフィッシングメールを見分けられるか」のクイズを3題用意しました。フィッシングメールの内容は以下のとおりです。
- 1.クレジットカード会社からのメール:クーポンコードプレゼント
- 2.オンライン銀行からのメール:暗証番号変更のお願い
- 3.ライブチケット当選メール:代金入金のお願い
それぞれ、ChatGPTに加えて、現役のプロマーケターであるYさんとMさんに実際に文章を作成してもらいました。ちなみに、YさんとMさんには、企画の全容までは伝えず、仮の企業名をクライアントとして、その企業にChatGPTとほぼ同様の指示に従ってメール作成をしていただきました。
なお、ChatGPTは、生成された文章をもとにプロンプト(生成する文の命令)を続ければ、文章の精度を向上させることが可能です。たとえば、生成された文章に「〇〇は不要です」「〇〇は不自然です」などと命令すれば、メールの完成度は高まります。
しかし、今回のクイズではフィッシングメールの例ということもあり、プロンプトは1回に絞って生成しました。
3つの文章うち1つはChatGPTで生成したもので、残り2つは人間が書いたものです。「これがChatGPTだ!」と思うものを1つ、A〜Cの中から選んでみてくださいね。
※答えと解説はクイズの下に記載しています。
1. クレジットカード会社からのメール
著名なクレジットカード会社を名乗ったフィッシングメール。割引が適用されるとうたって、偽オンラインショッピングサイトのURLを開かせる手口です。A〜Cのうち、どれがChatGPTで生成したメールかあなたは見分けられますか?
【A】
件名:【〇〇カード会員限定】夏休み大バーゲンセール開催中!オンラインショップで使えるクーポンコードをプレゼント
いつも〇〇カードをご利用いただきありがとうございます。この度、2023年夏休み大バーゲンセールを開催いたします。
新型コロナウイルス感染予防のため、クーポンでの買い物はオンラインショップでのみ有効となります。期間中、お買い上げ金額に応じて、以下の2種類のクーポンコードをプレゼントいたします。
5,000円未満のお買い上げの方:500円引き 5,000円以上のお買い上げの方:1,000円引き 商品を購入するには、発送先住所と有効なクレジットカード情報が必要です。キャンペーン専用LPにアクセスして、クーポンコードを入力していただくことで、割引が適用されます。
以下のボタンからキャンペーン専用LPにアクセスして、お買い物をお楽しみください。
【キャンペーン専用ランディングページ】
キャンペーン専用LPには、クーポン対象商品のリストがあります。
購入したい商品を選ぶと、決済手続きに進むので、そこでクーポンコードとお客様情報・有効クレジットカード情報を入力してください。
この機会に、お得な商品をお買い求めください。 今後とも、〇〇カードをよろしくお願いいたします。
〇〇リテール株式会社 お買い物情報窓口
【B】
件名:【〇〇カード会員様限定】2023年夏休み大バーゲンセールで使えるクーポンコードをお届け
いつも〇〇カードをご利用いただき、誠にありがとうございます。
2023年夏休み大バーゲンセールでご利用いただける会員様限定クーポンに関する情報をお届けいたします。
今回は期間中にオンラインショップ限定で使える以下の2種類のクーポンをご用意いたしました。
500円引きクーポン(購入額の指定なし):コード
1000円引きクーポン(5000円以上で利用可):コード
以下のキャンペーン専用ページへアクセスし、お買い物をお楽しみください。
【キャンペーン専用ランディングページ】
※商品のご購入には発送先住所と有効なクレジットカード情報のご入力が必要です。
キャンペーン専用ページから対象商品がご覧いただけます。購入し商品を選択していただくと決済手続き画面に進むので、クーポンコードとお客様情報、有効なクレジットカード情報を入力してください。
なお、新型コロナウイルス感染防止対策のため、クーポンでのお買い物はオンラインショップのみとさせていただきます。ご理解のほどよろしくお願いいたします。
ぜひこの機会にお買い物をお楽しみくださいませ。
今後とも〇〇カードをよろしくお願いいたします。
〇〇リテール株式会社 お買い物情報窓口
【C】
件名:【会員限定】2023年夏休み大バーゲンセールオンラインショップ特別クーポンのご案内
〇〇カード株式会社 お買い物情報窓口から皆さまへ
いつも〇〇カードをご愛顧いただき誠にありがとうございます。この度、〇〇カード会員の皆様だけを対象に、2023年夏休み大バーゲンセールの特別クーポンをご案内いたします。
新型コロナウイルス感染拡大防止のため、今回のクーポンの利用はオンラインショップでのみとさせていただきます。安全な買い物環境をご提供できるよう努めてまいりますので、ご理解とご協力をお願い申し上げます。
【クーポン詳細】
通常のクーポン:500円引き
5,000円以上お買い上げの方:1,000円引き
商品をお選びいただく際には、発送先住所と有効なクレジットカード情報が必要となります。これらの情報をご準備いただきますようお願い申し上げます。
キャンペーン専用のランディングページには、キャンペーン対象商品のリストがございます。ご希望の商品を選んだ後、決済手続きに進んでいただき、そこでクーポンコードとお客様情報、有効クレジットカード情報を入力していただけますと幸いです。
キャンペーン専用ページから対象商品がご覧いただけます。購入し商品を選択していただくと決済手続き画面に進むので、クーポンコードとお客様情報、有効なクレジットカード情報を入力してください。
【キャンペーン専用ランディングページ】
この機会にぜひ、お得なショッピングをお楽しみください。皆様のご利用を心よりお待ちしております。
今後ともイオンカードをよろしくお願い申し上げます。
〇〇リテール株式会社 お買い物情報窓口
2. オンライン銀行からのメール
続いては、著名なオンライン銀行になりすまし、口座暗証番号の変更をお願いするフィッシングメールです。A〜Cの3つのメールの中にChatGPTで生成したものが1つ潜んでいます。
【A】
件名:【重要】口座暗証番号の変更のお願い
〇〇様
いつも△△銀行をご利用いただき、誠にありがとうございます。△△銀行株式会社のサイバーセキュリティ部門より、口座暗証番号の変更についてのお願いがございます。
現在、お客様の口座暗証番号が6ヶ月以上変更されていないことを確認いたしました。セキュリティ上の危険性が増しておりますので、お手数ですが暗証番号の変更をお願いいたします。
暗証番号の変更はこちらからお願いいたします:https://△△bank.co.jp/account/security/update
お客様の安全なご利用ができるよう、セキュリティ対策に努めております。この度はご面倒をお掛けし、誠に申し訳ございません。お客様の安全確保にご協力いただけますことをお願い申し上げます。
引き続き、△△銀行をどうぞよろしくお願いいたします。
敬具
△△銀行株式会社 東京都新宿区西新宿2-1-1 新宿三井ビル https://www.△△bank.co.jp/
△△銀行株式会社 サイバーセキュリティ部門
Copyright >△△ Bank Corporation All rights reserved
【B】
件名:【重要なお知らせ】△△銀行から口座暗証番号のお願い
日頃より△△銀行をご利用いただきまして、誠にありがとうございます。本メールは口座暗証番号を6ヶ月以上変更されていないお客様へお送りしております。
長期間、暗証番号を変更しないことで、第三者による不正アクセスや不正取引のリスクが高まります。そのため、△△銀行をご利用の皆様に暗証番号の定期的な変更をお願いしております。
お手数ですが、セキュリティ向上のため、以下のオンライン銀行のログインページから暗証番号のご変更いただくようお願い申し上げます。
https://△△bank.co.jp/account/security/update
暗証番号の変更は【2023年5月20日】までに行ってください。また、過去数ヶ月間、当行を装った振り込み詐欺メール受信の報告が多発しております。ご注意ください。
https://www.△△bank.co.jp/security/crime/prv_phsh.html
お客様の大切な資産を守るための重要なお手続きとなりますので、ご理解、ご協力のほど、よろしくお願い申し上げます。
ご不明点などがございましたら、下記のサポートメニューをご確認いただき、解決しない場合はお問い合わせ窓口よりご連絡ください。
https://www.△△bank.co.jp/support/customer.html
引き続き、△△銀行をご愛顧いただきますようお願い申し上げます。
△△銀行株式会社 東京都新宿区西新宿2-1-1 新宿三井ビル https://www.△△bank.co.jp/
Copyright © △△Bank Corporation All rights reserved.
【C】
件名:【重要】口座暗証番号の変更をお願いします
いつも△△銀行をご利用いただきありがとうございます。
安全にお取引いただくために、△△銀行では口座暗証番号の定期的な変更をおすすめしております。本メールは口座暗証番号を6ヶ月以上変更されていない方へお送りしています。
定期的な口座暗証番号の変更は、お客様のセキュリティを高めるために重要です。最近では振り込み詐欺の被害が多発しており、△△銀行では、お客様に当社サービスを安全にご利用いただけるよう、口座暗証番号の変更を6ヶ月に一度お願いしています。
そのため、暗証番号の変更を【2023年5月20日まで】に行っていただくようお願いいたします。
お手数ですが、以下のページから△△銀行のオンラインログインページにアクセスして、口座暗証番号の変更を行ってください。
https://△△bank.co.jp/account/security/update
△△銀行では、お客様のセキュリティを最優先に考え、お客様の口座を保護するために最善を尽くしてまいります。
ご協力いただき、誠にありがとうございます。
何かご不明な点やご質問があれば、いつでもお気軽にお問い合わせください。
△△ 銀行株式会社 東京都新宿区西新宿2-1-1 新宿三井ビル
Copyright >△△ Bank Corporation All rights reserved
3. ライブチケット当選メール
続いては、有名なチケット販売サービスになりすまし、ライブチケット当選を報告する詐欺メールです。偽のWebサイトへ誘導し、アカウント情報やクレジットカード番号などを搾取することを目的としています。
ChatGPTによって生成されたメールは、次のA〜Cのうちどれでしょうか?
【A】
件名:【重要】◇◇「LIGHT IN THE DARKNESS TOUR 2024」ライブチケット当選のお知らせ
拝啓、いつもチケット☆☆をご利用いただきありがとうございます。
この度、◇◇「LIGHT IN THE DARKNESS TOUR 2024」ライブチケットの抽選において、お客様が当選されましたことをお知らせいたします。
誠におめでとうございます。
※このメールは当選のお知らせメールであり、チケットとしては有効ではございません。 以下の内容を必ずご確認ください。
【当選者のご案内】
当選期日: 2023年5月10日(本メール配信日)〜2023年7月15日
代金入金期日: 2023年5月10日(本メール配信日)〜2023年7月15日
チケット発券期間: 2024年8月10日〜2024年8月25日23:00
公演日: 2024年8月25日(現在未定、今後決定するので変更あり)
公演名: 「LIGHT IN THE DARKNESS TOUR 2024」
会場: さいたまアリーナ
開場時間: 12時00分
開演時間: 13時00分
【代金入金のお願い】
当選された方は、期日までに以下の方法で代金を入金する必要があります。 代金: 1枚あたり20,000円(税込)
支払方法: 銀行振込、クレジットカード、コンビニ決済
※詳細については、別途お送りする「チケット代金入金案内メール」をご確認ください。
【チケット発券について】
チケット発券には、ローソンまたはミニストップにて発券手続きが必要です。期間内に手続きをお済ませください。
【注意事項】
・席は先着順になります。早めの購入を推奨いたします。
・当選権利は、期日までに代金を入金していない場合は無効となります。
・チケットは転売禁止となっております。転売された場合は、法的措置をとらせていただきます。
・ご入金いただいたチケット代金の返金は致しかねます。
・チケット購入手続きの締切は【2023年7月15日】です。
期限までに手続きが完了していない場合、当選権利は無効となります。
ご不明な点がございましたら、下記の連絡先までお気軽にお問い合わせください。
チケット☆☆サポートセンター
メール: p_delivery@linkst.jp
営業時間:10:00~18:00
【B】
件名:◇◇「LIGHT IN THE DARKNESS TOUR 2024」ライブチケットの当選おめでとうございます!
お世話になっております。チケット☆☆サポートセンターでございます。
この度、◇◇「LIGHT IN THE DARKNESS TOUR 2024」のライブチケット抽選にご応募いただき、誠にありがとうございました。さて、お待たせいたしました結果につきまして、喜ばしいことにご当選が確定いたしました。
本メールは当選のお知らせであり、チケットとしての有効性はございません。以下、重要な情報をご確認いただき、必要な手続きをお願い申し上げます。
【チケット購入について】
当選された方は、2023年7月15日までに以下のリンクからご購入手続きをお願いします。購入手続きが完了していない場合、当選権利は無効となりますのでご注意ください。
チケット購入リンク: [チケット購入リンク]
【購入手続きの流れ】
専用のURLにアクセス → 当選番号「LITD2024◇◇」を入力 → 必要事項を記入の上、チケットの購入を確定
【公演詳細】
公演名: 「LIGHT IN THE DARKNESS TOUR 2024」
日時: 2024年8月25日 13時開演
会場: さいたまアリーナ
席は先着順になります。早めの購入をおすすめいたします。また、チケットの発券は、2024年8月10日〜2024年8月25日23:00までに、ローソンまたはミニストップにてお願いいたします。
なお、席は急速に埋まる可能性がございます。お早めにご確認いただけますよう、よろしくお願い申し上げます。
何かご不明な点がございましたら、下記の連絡先までお気軽にお問い合わせください。
チケット☆☆サポートセンター
メール: p_delivery@linkst.jp
営業時間:10:00~18:00
【C】
件名:【当選のご案内】◇◇「LIGHT IN THE DARKNESS TOUR 2024」ライブチケット
いつもチケット☆☆をご利用いただきありがとうございます。
先日お申し込みいただいた、◇◇「LIGHT IN THE DARKNESS TOUR 2024」ライブチケットの抽選において、お客様がご当選されましたことをお知らせいたします。
※本メールは当選のお知らせメールであり、チケットとして有効ではございません。期日までに代金のお支払い、発券のお手続きをしていただく必要がございます。詳細は以下の内容をご確認ください。
—————————————
【当選内容】
■予約番号:
■公演タイトル:◇◇「LIGHT IN THE DARKNESS TOUR 2024」
■公演日:2024/8/25 13:00開演
■会場名:さいたまアリーナ
【入金について】
■金額:〇〇円(〇〇円×○枚)
■入金期日:2023/7/15
■下記の専用ページより、当選番号「LITD2024◇◇」を入力し、必要事項をご記入の上ご購入を確定してください。
「チケット購入リンク」
※座席は先着順となりますので、お早めにご入金ください。また、期日までに代金をお支払いいただけない場合は、当選を無効とさせていただきます。
【発券について】
■発券期間:2024/8/10〜2024/8/25 23:00
■発券場所:ローソン、ミニストップ
■発券方法:(ロッピーなど簡単に記載または後日お知らせなど)
ご不明点などがございましたら、チケット☆☆サポートセンターまでご連絡ください。
———————————-
チケット☆☆サポートセンター
メール: p_delivery@linkst.jp
営業時間:10:00~18:00
————————-
どのメールがChatGPTによって生成されたものか、見分けられたでしょうか?「意外と難しかった」と感じた方も多いかもしれません。
ChatGPT VS コピーライターの答えと解説
それぞれどのメールがChatGPTによって生成されたものか、見分けられたでしょうか?「意外と難しかった」と感じた方も多いかもしれません。1〜3のクイズの答えは次のとおりです。
それぞれどのメールがChatGPTによって生成されたものか、見分けられたでしょうか?「意外と難しかった」と感じた方も多いかもしれません。1〜3のクイズの答えは次のとおりです。
クレジットカード会社からのメールの答え【C】
【A】と【B】は文章が自然なのに対して、【C】は言葉使いが若干不自然です。たとえば、「会員の皆様だけを対象に」「有効クレジットカード情報を入力していただけますと幸いです」など。間違いではないものの、表現や言葉の使い方がやや不自然な箇所があります。
また、【C】は他のメールと比べて、「特別」を繰り返し使うなど、表現がやや大げさな点も気になります。人間のマーケティングメールでは、“売り込みっぽさ”を避けるためにあまり大げさな言葉は使わないのが鉄則の一つ。
「不自然な表現はないか」「誇張し過ぎていないか」といった点は、AIによって生成された文章を見分ける手がかりになります。
オンライン銀行からのメールの答え【A】
【A】の文章は、口座暗証番号の変更が必要な理由が「セキュリティ上の危険性が増している」のみと、信頼獲得のためのプロセスが他のメールと比べて弱い点が気になります。人間によるメールでは、「第三者による不正アクセスや不正取引のリスクが高まる」「最近では振込詐欺の被害が多発している」など、より信頼できる情報が記載されています。
また、【A】には「面倒をお掛けし」とあります。間違いではありませんが、「面倒をかける」とひらがな表記にするほうが一般的です。さらに、よく読み進めると、【A】のメールの文末には「敬具」とあります。メールに「敬具」は使わないので、人間によるものではなさそうと判断できます。
ひらがな表記が好まれる言葉が漢字で表記されている、普段あまり見かけない「敬具」があるなど、「小さな違和感」を大切にすると、AIによるフィッシングメールを見分けやすくなります。
ライブチケット当選メールの答え【B】
【B】のメールは、全体のトンマナに統一感がなく不自然な箇所があります。全体的に淡々とした文章であるのに対して、「さて、お待たせいたしました」「喜ばしいことに」と感情的な表現が混在していて、よく読むと少し違和感が感じられます。
また、「席は先着順になります。早めの購入をおすすめいたします。」と単調で短い文章が続くなど、リズムの悪さも気になるポイントです。AIによって生成された文章は、一文ずつを見ると間違いなくても、全体に統一感やまとまりがなかったり、リズムの悪さや読みにくさを感じたりすることがあります。
なお、人間のメールは、2〜3回に分けてやり取りを行う傾向があります。たとえば、人間による【A】のメールには『詳細については、別途お送りする「チケット代金入金案内メール」をご確認ください。』とあるのに対し、AIによる【B】には『以下、重要な情報をご確認いただき、必要な手続きをお願い申し上げます』とあります。
AIによって生成されたフィッシングメールは、1回のメールで強引に決済をさせようとしてくる傾向があると言えます。
ChatGPTとフィッシング詐欺の関係
ChatGPTが、フィッシング詐欺分野で悪用されているのはなぜでしょうか?その理由は大きく分けて2つあります。
- フィッシング詐欺はChatGPTの苦手をカバーできる
- AIの活用によりフィッシング詐欺の参入障壁を下げられる
フィッシング詐欺はChatGPTの苦手をカバーできる
ここまで「ChatGPT=優れた技術」として紹介してきましたが、実際には弱みもあります。
ChatGPTは、さまざまな質問に人間らしく答えられる反面、情報の正確性に欠けるという致命的な弱みがあります。というのも、ChatGPTはインターネット上から情報を引っ張ってくるため、間違った情報が含まれることが多々あるのです。
ChatGPTが得意なこと(強み) | ChatGPTが苦手なこと(弱み) |
---|---|
・幅広い質問に回答できる&人間らしい文章を生成できる | ・情報の正確性に欠ける |
そのため、法律や医療関係の文章など、「情報の正確さ」が重視される場面ではChatGPTの利用は適さないとされています。正しい情報を含む専門的な文章を書くには、やはりAIよりも人間が勝るのです。
しかし、フィッシングメールは、そもそも“嘘”の情報が書かれたものです。人間らしい説得力のある文章が生成できればいいので、ChatGPTの弱みを見事にカバーできてしまいます。
実際に、イスラエルの情報セキュリティ企業・チェック・ポイント・ソフトウェア・テクノロジーズ株式会社は、ChatGPTを使って詐欺メールの本文と攻撃用のプログラムを生成できたことを発表。ChatGPTを悪用したサイバー攻撃が起こる可能性を注意喚起しています。
このように、ChatGPTをはじめとしたAIの技術は、フィッシング詐欺の分野で悪用が進んでいます。ChatGPTを開発したOpenAIでさえも、悪意のある使用を業界全体の問題として捉えるなど、脅威が高まっています。
フィッシング詐欺の参入障壁を下げられる
AIの進歩により、大規模なフィッシング詐欺への参入障壁が下げられることがわかっています。
これまでは、説得力のあるフィッシングメールを自動生成するためには、機械学習のアルゴリズムを組み込む必要があり、労力に見合う結果が得られないとされていました。また、AIによる自然言語処理を使用せず、人間が行うとしても、ターゲットに即したフィッシングメッセージ作成には多くの労力がかかります。
しかし、ChatGPTを使えば、AIの習熟や説得力のある文章作成の労力は一切必要ありません。質問を入力するだけで、誰でも簡単に自然な文章を作成できてしまいます。
このように、ChatGPTの優れた技術によりフィッシング詐欺の参入障壁は低下し、悪用が進んでしまうことが懸念されています。ChatGPTを公開したOpenAIは、悪用に基づく利用を業界全体の問題と捉え、セキュリティ対応策について研究しているそうです。
AIを悪用したフィッシングメール対策
では、AIを悪用したフィッシングメールから身を守るにはどうすれば良いのでしょうか?対策法を2つご紹介します。
- 基本的な対策が有効
- フィッシング検知ツールの活用
基本的な対策が有効
AIを使ったフィッシングメールというと、何か特別な対策が必要なように感じるかもしれません。
しかし、実際のところは、人間が作成したフィッシングメールと同様、基本的な対策が有効です。というのも、AIでも人間が書いたように説得力のあるメッセージを生成できてしまう以上、AIが書き手であってもこれまでのフィッシングメールと見破ることの難しさは同じだからです。
【基本的な対策】
- 企業のログインページには「正しいURL」からアクセスする
- 情報を入力する前に「SSL(鍵マーク)」が表示されていることを確認する
- フィッシングメールの内容が事実に基づくものか確認する
- むやみにURLをクリックしない
書き手がAIであろうと人間であろうと常に「警戒心」をもち、慌てずにURLが正しいものであるかを確認することが大切です。どんなに説得力のある文章でも、URLが間違っていることに気づければ、フィッシング詐欺の被害に遭わずに済みます。
フィッシング検知ツールの活用
AIは、まるで人間が書いたかのように自然で滑らかな文章を作成します。そのため、文章をじっくり読んだとしても見分けるのは難しいかもしれません。そこでおすすめなのが、フィッシングサイトを検知するツールを活用する方法です。
NordVPNの脅威対策Pro機能を使えば、フィッシングメールのURLをクリックしてしまっても、URLの悪性・フィッシングを検知すると即時にブロックしてくれます。
フィッシング検知ツールを活用すれば、AIによるフィッシングメールを見分ける知識がなくても安心です。
まとめ
本記事では、「ChatGPT VS コピーライタークイズ」とともに、詐欺メールの見分け方や対策、AIの進歩と人間の仕事への影響について紹介しました。
近年、AIの技術進歩により、ビジネスシーンでの活用が急速に進んでいます。AIの導入は大きなメリットをもたらす一方で、技術を悪用したサイバー攻撃やプライバシーの侵害、人間の仕事への影響などが脅威として位置付けられていることも事実です。
今回紹介したフィッシング詐欺は、悪意のあるAI活用による脅威の一例です。AIはマニュアル通りに仕事をこなすことを得意とするため、フィッシングメールの生成など、高度な判断やクリエイティビティを必要としない単調な作業はAIによる代替の対象になりやすいと言えます。
ChatGPTをはじめとした優れたAIは、仕事の生産性の向上につながる便利なツールです。ただし、使われ方によっては脅威になり得ることもしっかり理解しておく必要があります。