デルタ航空 AI コンシェルジュほか ～ AI デジタルアシスタントの機能とセキュリティリスク分析

　トレンドマイクロ株式会社は2月25日、「CES 2025」で発表されたAIデジタルアシスタントの機能とセキュリティリスクについての分析記事を発表した。

　2025年1月7日から10日に米国ラスベガスで開催された「CES 2025」は、世界最大級のテクノロジー見本市で、さまざまなAIデジタルアシスタントが発表されている。同記事では、CES 2025で発表された注目すべき3つのAIデジタルアシスタント「ソフトウェア企業「Bee」が開発した常時待機型AIデジタルアシスタント」、「パナソニック社のAIウェルネスコーチ Umi」、「デルタ航空のAIコンシェルジュ」を取り上げ、それらの潜在的な脅威について評価している。

　デルタ航空のAIコンシェルジュは、個人の旅行データを分析し、カスタマイズされた推奨を提供することで旅行体験を向上させるもので、旅行計画を簡素化することを目的としているが、さまざまなセキュリティリスクを引き起こす可能性があるとしている。AI搭載のデルタコンシェルジュは、同社のFly Deltaアプリに統合される予定。

　AIコンシェルジュは、旅行の好み、旅程、支払い情報などの機密データを扱うため、サイバー犯罪者にとって魅力的な標的となり、データ漏えいが発生すると、個人情報の盗用や金融詐欺につながる可能性がある。攻撃者はAIコンシェルジュを悪用してフィッシングメッセージを送信し、不正な旅行アラートを装ってユーザを騙し、パスワードや支払い情報を盗む可能性があり、アプリ内でのやり取りに限られていたとしても、攻撃者が盗んだデータを基に、もっともらしい偽の旅行コンシェルジュのメールを送信することで、より信頼性のあるフィッシング詐欺を仕掛ける可能性があると、そのセキュリティリスクを挙げている。

　トレンドマイクロでは、将来的にこれらの旅行関連アシスタントは、複数のプロバイダを横断して旅行予約を完全に自動化するようになると予測されるが、サプライチェーン攻撃やデータポイズニング攻撃が発生する可能性や、悪意のある人物が旅行の空席状況を操作して偽の情報を注入することが考えられるなど、新たな脅威も伴うとしている。

　また、認証機構が脆弱である場合は不正なアカウントアクセスのリスクが高まり、攻撃者がユーザアカウントを乗っ取ると、旅行プランの変更、不正な予約、支払い情報の盗難などが発生する可能性がある。過去のトレンドマイクロの調査で、サイバー犯罪者が旅行費用を不正に削減しながら世界中を移動する手口があることが明らかになっており、認証機構の脆弱性はユーザの信頼を損なうだけでなく、旅行者に経済的および物流上の損害をもたらす可能性があるとしている。

　トレンドマイクロでは、適用される未来の脅威として下記を挙げている。

・スキル名の類似性を悪用した攻撃（Skill squatting）
・正規を装う悪意あるスキル（Trojan skill）
・メタバース内の悪意あるアバターによるなりすまし詐欺（Malicious Metaverse avatar DA phishing）
・AIアシスタントを悪用した心理操作（DASE: Digital assistant social engineering）
・進化する不正広告の脅威（The Future of Malvertising）
・進化する標的型フィッシング（The future of spear phishing）
・意味検索の最適化（SEO）を悪用した攻撃（Semantic Search Engine Optimization abuse）
・エージェントを利用した攻撃（Agents Abuse）
・外部からの悪意あるAIアシスタント（Malicious External DAs）