生成AIを悪用したフィッシング攻撃が急増中！3分で作れる高精度な騙しメールの実態と対策

皆さん、最近メールボックスに「あれ？これ本物？」と思わせるような巧妙なメールが届いていませんか？実は今、生成AIを悪用したフィッシング攻撃が爆発的に増えているんです。

現役CSIRTメンバーとして数々のインシデント対応を経験してきた私が、今回は生成AIによるフィッシング攻撃の恐ろしい実態と、個人・企業が今すぐ実践できる対策方法をお伝えします。

生成AIフィッシング攻撃の驚愕の実態

まず、この数字を見てください。米国のセキュリティーベンダーProofpointによると、2025年7月には8億5240万件を超える新種の攻撃メールが確認されました。この爆発的な増加の背景には、生成AIの悪用があります。

私がフォレンジック調査で実際に見た事例では、ある中小企業の経理担当者が、社長から「緊急の送金依頼」というメールを受信しました。メール内容は完璧で、社長の普段の言い回しや業務の詳細まで正確に再現されていました。しかし、これは生成AIが作成した巧妙なフィッシングメールだったのです。

ハーバード・ケネディ・スクールの研究者グループが実証した生成AIフィッシングシステムは、以下のような恐ろしい仕組みで動作します：

例えば、あなたが研究者なら「共同研究の申し出」、営業職なら「新規案件の紹介」、経理担当なら「緊急の支払い処理」といった具合に、職種や立場に応じた完璧な騙しメールが生成されるのです。

私が調査したある個人事業主のケースでは、生成AIで作成されたフィッシングメールによって、以下のような被害が発生しました：

この事業主は「メール内容が完璧すぎて、疑う余地がなかった」と証言しています。生成AIの進化により、従来の「不自然な日本語」や「一般的な内容」といった見分け方はもはや通用しません。

先月対応したある製造業のケースでは、経営陣宛てに「新規取引先からの緊急提案」というメールが届きました。メール内容は業界の専門用語を適切に使い、実在する同業他社の情報も含んでいました。

幸い、この企業では事前にアンチウイルスソフトを導入していたため、メール内のマルウェアを検知し、被害を未然に防ぐことができました。しかし、対策をしていなければ確実に騙されていたでしょう。

まず個人レベルでできる対策から始めましょう：

特に重要なのは、アンチウイルスソフトの導入です。最新の製品では、生成AIで作成されたフィッシングメールも高精度で検知できる機能が搭載されています。

企業レベルでは、より包括的な対策が必要です：

また、リモートワークが増えている現在、VPN の活用も重要です。公衆Wi-Fiからのアクセス時にも、暗号化された通信で情報漏洩リスクを大幅に軽減できます。

生成AIの進化は止まりません。今後はより巧妙で、人間が見分けることが困難なフィッシング攻撃が増加することが予想されます。

私たちCSIRTが最近対応したケースでは、音声クローン技術と組み合わせた「ボイスフィッシング」も確認されており、脅威の多様化が進んでいます。

重要なのは、「完璧な対策は存在しない」という前提で、継続的にセキュリティ対策をアップデートしていくことです。技術の進歩に合わせて、私たちの防御も進化させていく必要があります。

生成AIを悪用したフィッシング攻撃は、もはや「いつか来るかもしれない脅威」ではなく、「今そこにある危険」です。個人も企業も、今すぐ対策を講じる必要があります。

特に以下のポイントは緊急度が高いです：

サイバー犯罪者たちは24時間365日、新しい攻撃手法を開発しています。私たちも同じように、継続的にセキュリティ意識を高め、対策をアップデートしていきましょう。