ここ数年、サイバー攻撃は、人がコツコツ作るものからAIが自動で量産するものに変わりつつあります。しかもその精度は、かなり高度化しています。今回は、最新のレポートをもとに、AIでサイバー攻撃がどこまで巧妙になっているのか?と、私たちが今から意識すべきことを、整理しておきます。参考にしてみてください。
AIが攻撃側の相棒に・・
2025年8月、AI企業のAnthropic(生成AIのClaudeを提供している会社です)が、AIの悪用に関するレポートを公開しています。そこでは、次のような指摘がされています。Anthropic
- AIが攻撃そのものを実行する段階に入っている
これまでは「攻撃方法を教える」「文章を手伝う」といったアドバイザー的な役割が中心でしたが、今は、- 脆弱性を探す
- 悪意あるコード(マルウェア)を書く
- 攻撃のシナリオを自動で動かす
といった、実務的な部分までAIが担い始めていると報告されています。
- 高度なサイバー犯罪の参入ハードルが一気に下がっている
以前なら、ランサムウェア(データを人質に金銭を要求する攻撃)を作るには、- プログラミング
- ネットワーク
- 暗号化技術
などの専門知識が必要でした。
ところが今は、技術の浅い犯罪者でも、AIを使ってそれっぽい攻撃ツールを作れてしまう状況になりつつあります。Anthropic
同じ流れは、世界経済フォーラム(WEF)の「Global Cybersecurity Outlook 2025」にも出ています。このレポートではなんと約47%の組織が、生成AIによって強化された攻撃者の進化を最大の懸念に挙げているとされています。World Economic Forum Reports
強化もそうですけど、間違いなくスピードも上がっているかと思います。
仕事と生活はどう変わるか?
ニュースでもいろいろと耳にしていると思いますは、実際にはどんな攻撃が増えているのでしょうか?
1. AIフィッシング:1通1通が“それっぽい”メールで届く
フィッシング攻撃とは、「本物そっくりのメールやサイトで、パスワードやカード情報をだまし取る手口」です。最近はこれにAIが組み合わさり、AIが自動で“人間っぽい文章”を大量に生成し、1人ひとりに合わせたメールをばらまく流れが強くなっています。
- 受信者の名前
- 直近の注文や取引の内容
- 一緒に仕事をしている同僚の名前
などの情報を組み合わせて、「自分あての本物メール」に見えるようにしてくるのが特徴です。strongestlayer.com
ある分析では、AIを使うことで、1つのキャンペーンで1万件以上の、微妙に内容の違うフィッシングメールを低コストで作成できるとされています。brside.com
テンプレのコピペではなく、それぞれの人に合わせたメールが自動で作られてしまうわけです。怖いですよね・・。
2. ディープフェイク詐欺:声と顔までニセモノ
もう1つ怖いのが、声や顔までAIでニセモノを作る「ディープフェイク」系の詐欺です。
- 2024年には、海外の大手エンジニアリング企業で、
経営幹部の顔と声をAIで再現した偽のビデオ会議を使って、多額の送金をだまし取る事件が起きています。World Economic Forum - 2025年に入ってからも、CEOの声をAIで真似して財務担当に送金させる偽の電話・ビデオ会議の事例が複数報告されています。eftsure
さらに今月に入って、FBIがAI生成の写真や動画を使ったバーチャル誘拐詐欺が増えていると警告しています。Axios
- 子どもの写真やSNSの動画を集めて、
- AIで泣いている映像や電話で助けを求める声を合成し、
- 親に「誘拐した、今すぐ送金しろ」と迫る――
という、感情を揺さぶるタイプの詐欺です。本物かAI生成かを、冷静に見分けるのはかなり難しくなっています。
3. 攻撃の自動化によって、人力では追いつけないスピードになっている
Anthropicのレポートや、サイバー脅威インテリジェンス企業の調査では、AIが攻撃の設計だけでなく、実行の一部まで担うようになっていると分析されています。KELA Cyber Threat Intelligence+1
例えば、
- 既知の脆弱性リストを読み込み、
- 攻撃しやすそうなサーバーを自動でスキャンし、
- 見つけたら即座に侵入を試みるコードを生成・実行する
といった流れを、ほぼノーコードで回せる未来も現実的になってきているそうです。
4. 私たちの仕事・生活への具体的な影響
じゃあ、こうしたAI活用のサイバー攻撃は、日常にどう影響するのでしょうか。まず、個人レベルでは・・
- 「本物っぽい日本語」の偽メール・偽SMSが増える
- 家族や友人の声を真似した電話・音声メッセージがあり得る
- SNSに載せた写真や動画が、ディープフェイクの素材に使われる可能性
次に、会社・仕事のレベルでは・・
- 財務・経理担当が、
- 「社長からの緊急送金指示」
- 「取引先の担当者からの口座変更連絡」を装ったAI生成メール・偽電話に狙われやすい
- 情報システム部門は、
- AIで量産される攻撃メール
- 高度にカスタマイズされたマルウェアへの対応に追われ、人手と予算のギャップが広がりやすい
実際、サイバー攻撃は増えているのに、サイバーセキュリティ予算の伸びは鈍化しているというデータも出ており、攻撃はAIでどんどん進化、守る側のリソースは頭打ち・・という厳しい構図が見えてきます。World Economic Forum
それでもあきらめてはいけない
ここからは、デジタルマーケティングの支援をしている弊社としての、少し主観も交えた意見を書いておきます。
1. AIだから見抜けないと思わないこと
たしかに、AIによるサイバー攻撃は見た目のクオリティが高いです。でも、だからといって、見抜けないわけではありません。
- 送金やパスワード入力など、お金・アカウントに関わる依頼が来たら、
- 必ず別経路(電話・チャット・対面など)で確認する
- 「すぐ」「今」「至急」など、急がせる言葉が強く出ていたら、ひと呼吸おく
- メールアドレス・URLが微妙に違わないか(.com と .co など)をチェックする
あたり前の普通の対策の徹底が、AI時代になっても一番大切です。常に注意を払って騙されてしまうことをあきらめてはいけません。
2. 家族で「合言葉」を決めておく
前述の誘拐の話ですが、FBIがバーチャル誘拐詐欺への対策として提案しているのが、
家族で“合言葉”を決めておくことなのだそうです。Axios
- 本当に本人と連絡が取れているか?
- 合言葉を知っているか?
こうした人間同士の確認フローは、AIがいくら賢くなっても簡単には崩せないようです。会社でも、
- 一定金額以上の送金は2人以上の承認を必須にする
- 口座変更は電話+メール+社内チャットなど複数経路で確認する
といった、人間でガードする方法を作っておくと良いわけです。
3. 守る側もAIを使う
「AIが怖いから触らない」という人は少なくありません。ですが守る側もAIをうまく使うことが大切なのではないかと私は思います。
- AIで怪しいメールを自動で分類する
- ログ(アクセス履歴)から、不自然な動きをAIで検知する
- 社員向けのフィッシング訓練メールを、AIでパターン化しておく
など、守る側もAIで効率を上げておくのは良いでしょう。企業の中には攻撃だけでなく防御でもAI活用が進んでいる話はよく聞きます。中小企業や小規模事業者、フリーランスにおいても
- クラウド型のセキュリティサービス
- メールフィルタリングサービス
- パスワード管理ツール
のような、月額で使えるサービスをうまく組み合わせれば、ゼロから全部自前でやるよりはるかにローコストかつ現実的な防御ができるのではないでしょうか。
4. 完璧な防御よりも、やられても致命傷にならないようにする
最後にもうひとつ、私が大切だと思っている考え方があります。それは、絶対にやられない、ではなく、やられても致命傷にならない設計にしておくことです。
- バックアップを定期的に取っておく(オフラインも含める)
- 重要なアカウントには必ず二段階認証を設定
- どこか1サービスが漏れても、他のサービスにログインされないよう
ID・パスワードの使い回しをやめる
こうしておけば、仮にAIを使った巧妙な攻撃に引っかかってしまっても、すべてが終わってしまうような状況はかなり避けることができますよね。
AIによって、サイバー攻撃はあきらかに高度化していますが、もうお手上げ!ということではないと思います。あたり前の対策の徹底と守る側のAI活用、そして致命傷を避けることを意識して対策しておけば、大きな被害に繋がることはないと思います。
-150x150.jpg){kind=avatar}
