私たちの業務に革命をもたらした生成AI技術ですが、実は深刻な「影の側面」があることをご存知でしょうか?2025年7月に米プルーフポイントが発表した調査結果は、サイバーセキュリティ業界に衝撃を与えました。なんと新種の攻撃メールが8億5240万件を超え、その激増の原因として生成AIの悪用が強く疑われているのです。
生成AIによるフィッシング攻撃の急激な増加
フォレンジックアナリストとして数々のサイバー攻撃事案を調査してきた経験から言えることは、2024年12月以降の攻撃メールの質と量の変化は異常なレベルです。従来のフィッシングメールは文法的な誤りや不自然な日本語表現で見抜くことができましたが、生成AIを使った攻撃メールは驚くほど巧妙になっています。
実際に私が対応した事例では、某中小企業の経理担当者が「CEO」からの緊急の送金依頼メールを受信しました。メール内容は完璧な日本語で、普段のやり取りの口調まで再現されており、担当者は疑うことなく300万円を送金してしまいました。後の調査で、このメールが生成AIによって作成された可能性が高いことが判明したのです。
生成AIを悪用した新しい攻撃手法の特徴
1. 極めて自然な文章構成
生成AIは大量のテキストデータから学習しているため、人間が書いたかのような自然な文章を作成できます。従来のフィッシングメールでよく見られた文法ミスや不自然な敬語は姿を消し、受信者が疑いを持ちにくい内容になっています。
2. パーソナライゼーション攻撃
SNSや公開情報から収集したデータを基に、個人に特化したメール内容を生成することが可能です。「あなたの趣味である釣りに関する特別オファー」といった具合に、受信者の関心事に合わせた巧妙な罠を仕掛けてきます。
3. 大量生成・大量送信
8億件を超える攻撃メールという数字が示すように、生成AIを使えば短時間で膨大な量の攻撃メールを作成し、自動的に送信することができます。
個人や中小企業が直面する現実的な被害事例
私が関わったフォレンジック調査の中で、特に印象的だった事例をいくつかご紹介します。
事例1:偽装された銀行メール
神奈川県内のIT企業では、「セキュリティ強化のためのアカウント確認」という件名で、取引銀行を装ったメールが届きました。生成AIで作成されたと思われるこのメールは、銀行の公式サイトと見分けがつかないほど精巧な偽サイトへ誘導し、ログイン情報を盗み取ろうとしていました。幸い、従業員が直接銀行に確認を取ったため被害は免れましたが、一歩間違えれば企業の資金が盗まれていた可能性があります。
事例2:取引先を装った請求書詐欺
大阪の製造業では、長年取引のある部品メーカーからの「請求書の振込先変更依頼」メールを受信しました。メールの文体や署名まで完璧に再現されており、経理担当者は疑うことなく新しい口座に200万円を振り込んでしまいました。実際の取引先に確認したところ、そのようなメールは送信していないことが判明し、生成AIを使った巧妙な詐欺であることが分かりました。
効果的な対策方法
生成AIを使ったフィッシング攻撃に対抗するには、従来の対策では不十分です。以下のような多層防御が必要になります。
1. アンチウイルスソフト の導入
最新の機械学習技術を搭載したアンチウイルスソフト
は、生成AIで作成された攻撃メールの検出に効果的です。従来のシグネチャベースの検出では見抜けない新種の攻撃も、行動パターン分析によって防ぐことができます。
2. メール認証技術の活用
SPF、DKIM、DMARCといったメール認証技術を適切に設定することで、送信者の偽装を防ぐことができます。特にDMARCポリシーを「reject」に設定することで、認証に失敗したメールの受信を完全に防げます。
3. 従業員教育の強化
生成AIによる攻撃の特徴を理解し、疑わしいメールを見分ける能力を身につけることが重要です。定期的なフィッシング訓練を実施し、最新の攻撃手法について情報共有を行いましょう。
4. VPN の活用
業務でWebサイトにアクセスする際は、VPN
を使用することで、フィッシングサイトへのアクセスを防ぐことができます。また、通信内容が暗号化されるため、情報漏洩のリスクも軽減されます。
企業が取るべき包括的なセキュリティ対策
技術的対策
- 多要素認証(MFA)の導入
- ゼロトラスト・セキュリティモデルの採用
- 定期的なWebサイト脆弱性診断サービス
の実施 - インシデント対応計画の策定
の実施組織的対策
- CSIRT(Computer Security Incident Response Team)の設置
- セキュリティポリシーの策定と定期的な見直し
- 外部セキュリティ専門機関との連携
- 定期的なセキュリティ監査の実施
今後の展望と対策の重要性
生成AIの技術進歩は止まることがなく、今後さらに巧妙な攻撃手法が登場することが予想されます。ChatGPTやGPT-4といった大規模言語モデルの普及により、サイバー犯罪者も簡単に高品質な攻撃コンテンツを作成できるようになりました。
特に注目すべきは、多言語対応の向上です。これまで日本語圏では外国産のフィッシングメールは文法的な違和感で見抜きやすかったのですが、生成AIによって完璧な日本語での攻撃が可能になっています。
また、音声合成技術との組み合わせにより、「ボイスフィッシング」という新たな攻撃手法も登場しています。実際に、某金融機関では取引先の社長の声を模倣した音声による詐欺未遂事件が発生しており、メールだけでなく音声による攻撃にも警戒が必要です。
まとめ:プロアクティブな防御が生存の鍵
生成AIを悪用したフィッシング攻撃の激増は、もはや「もしかしたら」ではなく「いつ」自分たちが標的になるかの問題です。8億件を超える攻撃メールという数字は、すべての組織と個人が潜在的な標的であることを意味しています。
現役CSIRTメンバーとして強く推奨したいのは、受動的な対策から能動的な対策へのシフトです。攻撃を受けてから対応するのではなく、攻撃される前提で包括的な防御システムを構築することが生存戦略となります。
特に中小企業や個人事業主の方々は、セキュリティ投資を「コスト」ではなく「事業継続のための保険」として捉えることが重要です。一度の攻撃で失う信頼と金銭的損失を考えれば、適切なセキュリティソリューションへの投資は決して高い買い物ではありません。
一次情報または関連リンク
