AI検索が「公式窓口」を偽造する時代へ。「LLM電話番号汚染」が生む、新しい詐欺の入り口

AIの出力に偽情報を混入させる詐欺の手口が登場しました

　また、生成AIを悪用した新しいネット詐欺の手口が登場しました。AI検索やAIチャットの回答に偽情報を混入させ、ユーザーを詐欺師の偽コールセンターへ誘導するというものです。

　AIセキュリティ企業Aurascapeが12月8日に公開したレポートで、Googleの「AI Overview（AIによる概要）」やPerplexityなど、LLM（大規模言語モデル）を使って要約回答を返すAI検索エンジンの仕組みを悪用する新たな詐欺の事例が報告されました。詐欺師はウェブ上の公開コンテンツを改ざんし、AIが「公式の問い合わせ先」と誤認するよう誘導します。便利なはずのAIによる要約回答が、今や詐欺の入り口にもなり得るのです。

　この手口は、AIを直接ハックして「命令を書き換える」タイプではありません。公開されているウェブコンテンツをサイバー犯罪者が計画的かつ組織的に操作し、LLMが参照する情報源そのものを汚染するのです。Aurascapeはこの現象を「LLM電話番号汚染（LLM phone-number poisoning）」と呼びました。

　狙いは単純で、ユーザーが「公式のサポート窓口はどこ？」と尋ねたとき、AIが詐欺師側の電話番号を「公式」として提示する状態を作ることです。侵害された政府機関や大学のサイト、人気のWordPressサイト、YouTube動画の説明文、口コミサイトなどに汚染コンテンツをばらまきます。AIが読み取りやすい場所へ「それっぽい問い合わせ先」を大量に埋め込み、AIが要約するときに、紛れ込むようにするわけです。

　Aurascapeのレポートでは、航空会社の予約やサポートの問い合わせが例として示されました。Perplexityに「エミレーツ航空の公式予約番号」を尋ねると、AIが自信満々に米国のフリーダイヤル番号を提示し、しかも「予約、アップグレード、緊急対応のホットライン」などともっともらしい説明を付けてしまうケースが確認されているそうです。GoogleのAI Overviewでも、同様に複数の番号を並べて予約手順まで案内する例が示されました。ユーザーが急いでいるほど、引っ掛かる可能性が高くなります。

Perplexityにエミレーツ航空の公式予約番号を聞くと、間違った回答を返しました（画面はAurascapeのウェブサイトより）

GoogleのAI Overviewでも、間違った回答を出力しています（画面はAurascapeのウェブサイトより）

　従来の検索では、検索結果が複数並びます。ユーザーは公式サイトらしいドメイン名のサイトを選んだり、複数の結果を見比べたりできます。しかし、AI検索や要約回答は、最初に「答えっぽい文章」を1つ提示します。この体験が便利である一方、サイバー犯罪者にとっては「AIが答えに採用する情報源を握れば勝てる」構造になっているのです。

　Aurascapeは、これがプロンプトインジェクションやジェイルブレイク（脱獄）と呼ばれる手法のような、AIモデルの挙動を直接ねじ曲げる問題ではないと述べています。複数の検索結果を一覧表示する方式から、AIが複数ソースを統合して文章化する方式へ重心が移ったことで、別種の攻撃面が生まれたというのです。AIは出典の文脈まで常に精査できるわけではなく、「権威がありそうなドメイン」や「最近更新されたページ」「構造化されていて抽出しやすいテキスト」などの要素に引っ張られやすく、そこを突かれているのです。

　そこで使われる考え方が「GEO（Generative Engine Optimization）」や「AEO（Answer Engine Optimization）」です。従来のSEO（Search Engine Optimization）が「検索結果の上位に表示させる」ための最適化だったのに対し、GEOやAEOは「AIが回答を作るときに拾いやすいかたちに整える」方向へ最適化します。Q&Aっぽい短文やブランド名と電話番号の繰り返し、問い合わせを促す一文など、人間に向けた説得というより、LLMの取り込み工程に刺さるかたちへ寄せていきます。

　さらに厄介なのは、AIが複数のソースを統合する点です。Aurascapeのレポートでは、Perplexityが偽番号を多数の「Sources（ソース）」で裏付けているように見える状況が紹介されましたが、その中身のほとんどが改ざんサイトやスパム混入ページでした。数がそろうほど、AIもユーザーも「多くの根拠がある」と錯覚しやすくなります。

航空会社とは関係ないウェブサイトに詐欺テキストを埋め込み、AIに参照させています（画面はAurascapeのウェブサイトより）

　航空会社が狙われている理由は、「ユーザーが困っているときに、すぐ連絡したい」という状況が起きやすいからです。予約変更や欠航、払い戻し、手荷物のトラブル……。スマホでAIに聞いて、その場で電話することが多いでしょう。ここに「公式の窓口を装う」詐欺が入り込む余地があります。通話先が本物かどうかを、電話をかける瞬間に見抜くのは難しいでしょう。

　もちろん、この手口は旅行だけでなく、銀行やクレジットカード、配送、行政手続き、ITサポートなど、「電話やチャットでの問い合わせ」が導線として使われている分野に悪用できます。詐欺師が狙うのは、ユーザーが急いでいて確認を省きがちな場面です。偽コールセンター側が「手続きに手数料が必要」「本人確認のため」と言い、決済情報や個人情報を引き出す可能性があります。

　企業側のダメージも無視できません。ユーザーがだまされたとき、矢面に立つのはそのブランドです。正規のサポートに苦情が殺到し、対応コストが増え、SNSで「この会社は危ない」という誤解が広がる可能性もあります。

　さらに今回のレポートでは、AIが表面的には正しい回答を返している場合でも、裏側の参照元に汚染されたソースが混ざることがあると述べています。つまり、「今はたまたま無事」でも、汚染が解消されない限り火種は残ったままなのです。

　対応策としては、ユーザーは「AIが出した連絡先は、そのまま使わない」という習慣をつけることです。電話番号やURLのように、1文字違うだけで致命的になる情報は、最初から疑ってかかるほうが安全です。問い合わせをするなら、公式サイトの「お問い合わせ」ページや公式アプリ、予約確認メールや利用明細など、出どころが明確な導線からたどるようにしましょう。

　昨今の検索エンジンは頼んでもいないのにAIによる回答を表示してきますが、それらしい情報が表示されても、安易に信頼しないことです。国内の企業の電話番号を調べて国番号から表示されるなど、「状況に合わない形式」が混ざるときは、いったん手を止めましょう。それだけでも被害に遭う確率は下がります。

　検索エンジン側にも対応してほしいところです。電話番号のような情報は、公式サイトや信頼できるデータベースと照合してから出す、あるいは「公式サイトで確認してください」という注意喚起とセットで扱うようにすると被害を抑えることができるでしょう。

　AI検索は、調べ物の「入り口」を置き換えつつあり、その入り口が詐欺師に狙われるのは、ある意味では当然の流れでもあります。だからこそ、ユーザーはAIの出力を、出典を含めて確認するというネットリテラシーを身に付ける必要があるのです。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。

※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考：ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと