生成AIで激化するメール攻撃の現実｜DMARC導入企業7割が「設定しただけ」で無防備な理由

こんにちは。CSIRTでフォレンジック調査を担当している者です。最近、企業のメール攻撃に関する相談が急激に増えており、特に「DMARCを導入したのに被害に遭った」という案件が目立っています。

実は、DMARC導入企業の約7割が「実効性ゼロ」の状態にあることが判明しており、これは深刻な問題となっています。今回は、現場で見てきた実際の被害事例を交えながら、なぜ従来のメール対策が通用しなくなっているのか、そして本当に有効な対策について解説していきます。

生成AIがもたらしたメール攻撃の劇的変化

ChatGPTをはじめとする生成AIの普及により、サイバー攻撃の手口が根本的に変わりました。従来のフィッシングメールは、日本語の不自然さや明らかな誤字脱字で見破ることができましたが、現在は全く違います。

つい先月対応した事例では、中小企業の経理担当者が「社長からの緊急指示」として受け取ったメールが、完璧な日本語で書かれており、普段の社長の文体まで模倣されていました。このメールに騙されて約500万円の送金被害が発生しています。

生成AIによって以下の点が大幅に向上しています：

DMARCは確かに有効なメール認証技術ですが、多くの企業で「設定しただけ」の状態になっているのが現実です。調査に入った企業のほとんどが、以下のような問題を抱えていました：

実際の被害事例をご紹介します。ある製造業の企業では、DMARCを導入して安心していたものの、設定が「p=none」のままだったため、偽装メールが素通りしていました。攻撃者は巧妙にも、まず小額の請求書偽装から始めて信頼を築き、最終的に1,200万円の不正送金を成功させました。

現在のメール攻撃は、技術的な偽装だけでなく、心理的な操作も高度化しています。フォレンジック調査で明らかになった最新の攻撃パターンをご紹介します：

取引先のメールアカウントを乗っ取り、そこから「正規ルート」で攻撃メールを送信する手法が増加しています。これにより、SPFやDKIMの認証をすべてパスしてしまいます。

最初は無害なメールで信頼関係を築き、数週間後に攻撃メールを送信する手法です。受信者の警戒心を下げる効果があります。

フィッシングサイトで認証情報を取得後、リアルタイムでワンタイムパスワードも窃取する「AiTM（Adversary-in-The-Middle）攻撃」が急増しています。

多くの被害現場を見てきた経験から、以下の対策を強く推奨します：

企業だけでなく、個人も標的になっています。在宅勤務の普及により、個人のメールアカウントから企業ネットワークへの侵入を狙う攻撃が急増しています。

実際に調査した事例では、従業員の個人Gmailアカウントが乗っ取られ、そこから社内の機密情報が漏洩した事案もありました。個人レベルでの対策も重要です：

通常、DMARCの「p=reject」への移行には半年から1年かかるとされていますが、適切な手順を踏めば45日での達成も可能です。

成功事例では、以下のステップで短期間での移行を実現しています：

ただし、これには専門的な知識と継続的な監視が不可欠です。多くの企業では、外部の専門サービスを活用することで、確実かつ迅速な導入を実現しています。

生成AIの普及により、メール攻撃は新たな段階に入りました。DMARC導入だけでは不十分で、技術的対策と人的対策の両方を組み合わせた多層防御が必要です。

特に重要なのは：

サイバー攻撃の被害に遭ってからでは遅すぎます。今すぐ、自社のメールセキュリティ対策を見直し、必要な投資を行うことをお勧めします。