読めば身に付くネットリテラシー
生成AIが悪用されるフィッシング詐欺の進化や止まらぬ内部不正の脅威~F-Secureのレポートから
2025年11月28日 06:00
フィンランドに本拠を置くサイバーセキュリティ企業のF-Secureが公開している脅威インテリジェンスレポート「F-Alert」の2025年10月版に、興味深い記述が複数ありました。AI技術の爆発的な普及がサイバー犯罪への参入障壁を劇的に押し下げている状況や、企業の内側に潜む脅威がもたらす深刻な被害の実態などが明らかにされています。今回は、同レポートで取り上げているトピックの中から4つ紹介します。
フィッシングサイト量産に悪用されるAIウェブ生成ツール
F-Secureの脅威インテリジェンス責任者であるLaura Kankaala氏は、「Lovable」のようなAIによるコーディング不要のウェブアプリ開発ツールがネット詐欺に悪用されていると警鐘を鳴らしました。Lovableは本来、正規のビジネス目的で開発されたプラットフォームです。しかし、コードを書く知識が全くない者でも、短時間で洗練されたデザインのウェブサイトを作成できるため、その便利さがサイバー犯罪者にとっても「短時間で洗練されたデザインの偽サイトを作成できるツール」となってしまうのです。
かつてフィッシングサイトを構築するためには、既存の正規サイトをスクレイピングしたり、手動でHTMLコードを修正したりといった煩雑な作業が必要でした。ところが今や、AIがそのプロセスを全て効率化し、信頼できる有名ブランドを模倣した偽サイトを瞬時に生成してしまいます。ロゴや画像を完全にコピーせずに微妙に変化させることで、ブランド保護の自動検知システムを回避しつつ、人間の目には本物と見分けがつかないサイトが量産されています。さらに、サイトの信頼性を高めるために、閲覧者が人間であることを証明するCAPTCHA認証も実装可能だといいます。
Proofpointの調査によれば、Lovableは多要素認証(MFA)を突破するフィッシングキット「Tycoon」や、暗号資産ウォレットを狙うマルウェアの配布にも悪用されていることが確認されているそうです。
知らぬ間に攻撃者の命令が実行される生成AIの脆弱性
AIのリスクは、ウェブ生成ツールの悪用だけにとどまりません。マレーシアを拠点とする研究者のHafizzuddin Fahmi Hashim氏は、Googleの生成AI「Gemini」における脆弱性を指摘しました。攻撃者はカレンダーの招待状やメールの件名、あるいは共有ドキュメント名に悪意のあるプロンプトを密かに埋め込むだけで、Geminiをハイジャックすることが可能だというのです。
これは「間接プロンプトインジェクション」と呼ばれる攻撃手法で、ユーザーが今後の予定やメールの内容についてAIにたずねた際、AIがユーザーの知らぬ間に攻撃者の命令を実行してしまう可能性があるのです。
実証実験では、スパムの生成や不適切なコンテンツの表示といったインターネット上での被害に加え、スマートホーム機器を勝手に操作して窓を開けたりボイラーを作動させたりといった、物理的な影響を及ぼす可能性があることも分かりました。Googleはこの指摘を受けて対策を講じていますが、AIが生活に浸透するにつれ、攻撃対象領域が拡大していくことは避けられないのかもしれません。
若者の希望を食い物にする求人詐欺の急増
世界的なインフレや経済的な不安が高まる中、社会経験の浅い若者を標的とした求人詐欺が急増しています。特に英国では2025年1月から7月までの間に「前払い手数料詐欺」を含む求人詐欺の報告件数が、前年比で237%も増加したそうです。
この手の詐欺は、「TikTokの動画に『いいね』をするだけ」「指定されたホテルのレビューを書くだけ」といった、特別なスキルや経験を必要としない単純作業で、高額な報酬が得られると謳うのが典型的な手口です。若者にとって、スマートフォンひとつあれば簡単に副収入が得られるという甘い言葉は魅力的に聞こえます。
応募すると、採用プロセスの手数料やトレーニング費用、身元調査、あるいはビザのスポンサー料といったもっともらしい名目で、金銭の支払いを要求されます。「最初の報酬を受け取るための手続き費用」として少額を要求され、支払うと連絡が途絶える、あるいはさらに高額な支払いを要求されるといったパターンが横行しています。
あまりにも条件が良く、資格も不要で高収入を約束する仕事は、十中八九、詐欺であると疑ってかかる必要があります。犯罪者たちは、若者の純粋な就労意欲と経済的な焦りにつけ込み、巧みに金銭を搾取しているのです。
企業の内側に潜む敵意
ユーザーがどれほどパスワードを複雑にし、セキュリティ対策を徹底していても、決して防ぎようのない脅威が存在します。それが「インサイダー(内部関係者)」による犯行です。
米国では、ユナイテッド航空の顧客がフライトの予約変更のために正規のカスタマーサービスに電話をかけたにもかかわらず、なぜか詐欺師に転送され、結果として1万7000ドルもの被害に遭うという事件が発生しました。航空会社側は通話がなぜ外部の詐欺師につながったのかを説明できず、システム上のログに残された通話時間も顧客の話と食い違っていました。これは、正規のオペレーターあるいはシステム管理者が関与していなければ起こり得ない事態であり、企業への信頼が毀損される出来事です。
このような事例は氷山の一角に過ぎません。暗号資産取引所大手のCoinbaseでは、契約社員が顧客サポートのやり取りを盗み見し、個人情報を流出させていたことが発覚しました。また、TD銀行ではマネーロンダリング対策を担当するはずの従業員が、あろうことか顧客の小切手を撮影し、秘匿性の高いメッセージアプリであるTelegramでその情報を販売していた事例も報告されています。
F-Secureの脅威インテリジェンス研究者であるMegan Squire博士は、企業が内部調査を行ってもその結果を公表しない傾向があり、被害者が十分な救済を受けられずに泣き寝入りするケースが多いことを憂慮しています。企業にとって内部不正の公表はブランドイメージの失墜に直結するため、どうしても隠蔽体質になりがちですが、その不透明さがさらなる被害を生んでいるのです。
F-Secureの研究部門であるIlluminateでは、AIツールの民主化は犯罪者にも強大な力を与えているうえ、企業の内部には依然として「人間」という最も予測不可能な不確定要素が存在すると指摘しています。
どんな新しいツールやサービスが登場しても、私たちにとって必要なのは、眼の前の出来事を一旦「本当かな?」と疑い、流されずに検討・判断する冷静さです。技術の進化は止まりませんが、それに応じてネットリテラシーもまた、常にアップデートし続ける必要があるのです。
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。
※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと