人工知能（AI）技術の急速な発展は、サイバーセキュリティの攻防を根本的に変えつつあります。AIはセキュリティ防御の強化に活用される一方で、攻撃者もAIを武器として利用し始めています。ディープフェイク、自動生成フィッシングメール、AIワームなど、これまでにない脅威が現実化しています。本記事では、AIを悪用した最新のサイバー攻撃とその防御策について解説します。

ディープフェイクによる詐欺

ディープフェイクとは、AIを使って人物の顔や声をリアルタイムで生成・合成する技術です。この技術がサイバー犯罪に悪用されるケースが急増しています。

音声ディープフェイク詐欺

2024年には、香港の多国籍企業で、ディープフェイクで再現された上司の音声・映像によるビデオ会議を通じて、経理担当者が約38億円を送金してしまう事件が発生しました。わずか数秒の音声サンプルから本人そっくりの声を生成できる技術が、ビジネスメール詐欺（BEC）を高度化させています。

ゲーマー・ストリーマーへの影響

有名ストリーマーの声や映像を使ったディープフェイクが、偽の投資勧誘やスパム動画に悪用されるケースも増えています。ファンがディープフェイクと気づかずに詐欺リンクをクリックしてしまうリスクがあります。

AI自動生成フィッシング

大規模言語モデル（LLM）の登場により、フィッシングメールの品質が飛躍的に向上しています。

従来のフィッシングとの違い

スピアフィッシングの自動化

AIがターゲットのSNS投稿、LinkedIn情報、過去のメールパターンを分析し、極めて説得力のあるスピアフィッシングメールを自動生成することが可能になっています。セキュリティ研究者の実験では、AI生成のフィッシングメールは人間が作成したものと比較して開封率が60%高かったという結果も報告されています。

AIワームと自律型マルウェア

2024年に研究者が実証した「Morris II」は、生成AIシステムを悪用して自己増殖するAIワームの概念実証です。AIアシスタントに悪意あるプロンプトを注入し、そのAIが他のユーザーのAIアシスタントにマルウェアを伝播させるという新しい攻撃ベクトルです。

AIエージェントの悪用リスク

AIエージェントが自律的にWebブラウジングやメール送信を行えるようになるにつれ、攻撃者がAIエージェントをハイジャックして不正な操作を実行させるリスクが高まっています。プロンプトインジェクション攻撃により、AIが本来の指示に反する行動をとる可能性があります。

AI時代のサイバー攻撃への備え

AI時代のサイバー攻撃に対して、個人レベルで実践できる対策をまとめます。

• 多要素認証の徹底：パスワードがAIフィッシングで窃取されても、2FAが最後の防壁になる
• 合い言葉の設定：家族や同僚との間で、電話やビデオ通話の本人確認用の合い言葉を決めておく
• 送金・機密情報の複数チャネル確認：メールで指示された送金は、電話で直接確認する
• AIリテラシーの向上：ディープフェイクの存在を知り、映像や音声が「本物」とは限らないことを認識する
• セキュリティソフトの更新：AI対応の最新の検出エンジンを持つセキュリティソフトを使用する