【緊急警告】生成AIが34%の確率でフィッシング詐欺に誘導!現役CSIRTが教える今すぐできる対策

「ChatGPTに○○のログインページを教えて」と聞いたことはありませんか?実は、その何気ない質問が、あなたを詐欺サイトへ導く可能性があることが最新の調査で明らかになりました。

2025年7月、セキュリティ企業Netcraftが発表した衝撃的な調査結果によると、大規模言語モデル(LLM)が提示するURLの34%が偽サイトや無関係なドメインだったのです。

現役CSIRTアナリストとして、この問題の深刻さと具体的な対策について詳しく解説します。

生成AIがフィッシング詐欺の新たな入口に

Netcraftの調査では、GPT-4系モデルに50の有名ブランドのログインURLを自然な言い回しで質問しました。その結果は驚愕的でした:

  • 66%:正しいブランドのドメイン
  • 29%:未登録・駐車中・非アクティブなドメイン
  • 5%:全く無関係な企業のサイト

つまり、3回に1回はあなたが意図しないサイトに誘導されるということです。

実際に起きた被害事例

調査では、AI検索エンジン「Perplexity」に「Wells Fargoのログインページを教えて」と質問したところ、上位に表示されたのはGoogle Sites上で作成された精巧な偽サイトでした。

私が過去に対応したインシデントでも、似たような手口で地方銀行の顧客が被害に遭ったケースがありました。被害者は「AIが教えてくれたから信用した」と話していたのが印象的でした。

なぜ生成AIは騙されやすいのか?

調査によると、特に影響を受けているのは以下のような組織です:

  • 中小規模のブランド
  • 地方銀行
  • 信用組合
  • ローカルビジネス

これらの組織はLLMの学習データに含まれる頻度が低いため、AIが正確な情報を持っていない可能性が高いのです。

攻撃者の狡猾な手口

さらに深刻なのは、攻撃者がAIの特性を悪用している点です。従来のSEO対策と同様に、「AI向け最適化」されたフィッシングページが急増しています。

特に狙われているのは:

  • 暗号資産取引:GitBookを悪用した17,000以上のページ
  • 旅行業界:サポートサイトを装った偽サイト
  • 開発者向け:偽APIとチュートリアルを用いたコード汚染

現役CSIRTが教える!今すぐできる対策

では、私たち個人や中小企業はどう身を守ればよいでしょうか?

個人向け対策

  1. ブックマークを活用する
    よく使うサイトは必ずブックマークに保存し、AIに頼らずアクセスする
  2. URLを目視確認する
    AIが提示したURLは必ず目視で確認。特にドメイン名のスペルミスに注意
  3. 公式サイトから入る
    検索エンジンで公式サイトを検索してからログインページへ移動
  4. 多要素認証を設定する
    万が一偽サイトにアクセスしても、追加認証で被害を防げる可能性が高まります
  5. アンチウイルスソフト 0を導入する
    フィッシングサイトをリアルタイムで検知し、アクセスを遮断
  6. VPN 0を使用する
    通信を暗号化し、悪意のあるサイトからの攻撃を軽減

中小企業向け対策

  1. 従業員教育の実施
    AIの回答を鵜呑みにしないよう定期的な教育を実施
  2. 公式URLの周知徹底
    社内外に正しいログインURLを繰り返し周知
  3. 類似ドメインの監視
    自社に似たドメインが取得されていないか定期的にチェック
  4. インシデント対応計画の策定
    万が一被害が発生した場合の対応手順を事前に決めておく

実際のフォレンジック事例から学ぶ

昨年、私が対応した中小製造業の事例では、経理担当者がAIに「○○銀行の法人ログインページ」を尋ね、提示されたフィッシングサイトで認証情報を入力してしまいました。

幸いアンチウイルスソフト 0が導入されていたため、不正送金は未遂に終わりましたが、もし対策が不十分だったら数百万円の被害に発展していた可能性があります。

今後の展望と注意点

残念ながら、この問題は今後さらに深刻化すると予想されます。理由は以下の通りです:

  • AIの利用者数が急速に増加
  • 攻撃者のAI最適化技術が向上
  • LLMが生成する無限のバリエーションに対する完全な対策は困難

だからこそ、今のうちから適切な対策を講じることが重要なのです。

まとめ:AIとの正しい付き合い方

生成AIは確かに便利なツールですが、完璧ではありません。特にセキュリティに関わる情報については、「疑う」姿勢を持つことが大切です。

以下のポイントを心がけてください:

  • AIの回答は必ず検証する
  • 重要なサイトはブックマークを使用
  • セキュリティソフトで多層防御を構築
  • 定期的な教育と情報収集を怠らない

サイバー攻撃の手口は日々巧妙化しています。しかし、適切な知識と対策があれば、被害を大幅に軽減できます。今回の情報を参考に、ぜひ今日から対策を始めてください。

一次情報または関連リンク

Netcraft: Large Language Models are falling for phishing scams

タイトルとURLをコピーしました