AIは、サイバーセキュリティの守る側にとって大きな武器になっています。
大量のログを整理する。不審な挙動を見つける。脆弱性を洗い出す。インシデント対応を速くする。人の目だけでは追いきれない領域をAIで補えるようになったことは、セキュリティ現場にとってかなり前向きな変化です。
ただ、同じ技術は攻撃者にも使われています。
攻撃者はAIを使って、フィッシングメールを自然にし、偽の音声や映像を作り、マルウェアのコードを変化させ、盗んだ情報を分析し、攻撃の一部を自動化しています。ゼロデイ脆弱性を使わなくても、AIによって「攻撃に必要な時間・コスト・技術のハードル」が下がりつつあります。
ここで大切なのは、AIを過剰に怖がることではありません。攻撃者がAIをどう使うのかを知り、自社の対策を現実に合わせて見直すことです。
TABLE OF CONTENTS
- 1 1. 個人に合わせたフィッシングメールを大量に作る
- 2 2. ディープフェイクのビデオ会議で送金を誘導する
- 3 3. 音声クローンで本人確認やヘルプデスクを突破する
- 4 4. 犯罪目的のダークウェブLLMを使う
- 5 5. 実行中に姿を変えるポリモーフィックマルウェアを作る
- 6 6. エージェント型AIで侵入工程を自動化する
- 7 7. パスワード解析と認証情報悪用を高速化する
- 8 8. OSINTと偵察をAIで高速化する
- 9 9. 偽情報を大量に作り、拡散する
- 10 10. プロンプトインジェクションでAIシステムを悪用する
- 11 10の攻撃手法に共通すること
- 12 企業が今すぐ見直したい対策
- 13 AI時代の守りは、攻撃者の使い方を知るところから始まる
1. 個人に合わせたフィッシングメールを大量に作る
AIによって、フィッシングメールはかなり自然になっています。
以前のフィッシングメールには、不自然な日本語、雑な敬語、違和感のある言い回しが多くありました。従業員教育でも「日本語がおかしいメールに注意」と説明されることがよくありました。
しかし、生成AIを使えば、業務メールとして違和感の少ない文章を短時間で作れます。LinkedIn、企業サイト、採用ページ、プレスリリース、SNSなどの公開情報を使えば、部署名、役職、取引先、利用サービスに合わせた文面も作りやすくなります。
- 上司からの確認依頼に見えるメール
- 取引先からの請求書送付に見えるメール
- クラウドサービスの認証通知に見えるメール
- 社内システムのパスワード更新依頼に見えるメール
- 採用候補者や顧客からの問い合わせに見えるメール
実際、ビジネスメール詐欺では、経理担当者や決裁者を狙った自然な文面が使われます。メールの文法だけで見抜く時代は、かなり厳しくなっていると感じます。
2. ディープフェイクのビデオ会議で送金を誘導する
ディープフェイクは、単なるフェイク動画の問題ではありません。企業の意思決定や送金プロセスを狙う実務的な脅威になっています。
攻撃者は、経営層や上司の映像・音声をAIで再現し、オンライン会議の中で本人のように振る舞うことがあります。参加者から見ると、画面には見慣れた人物が映り、聞き慣れた声で話しているように見えます。
香港では、英国のエンジニアリング企業Arupの従業員が、ディープフェイクを使ったビデオ会議にだまされ、2億香港ドル規模の送金を行った事例が報じられました。
この種の攻撃では、「映像で本人が見えている」「声も本人に聞こえる」という感覚が、逆に判断を鈍らせます。
これからは、高額送金や重要な契約変更について、映像や音声だけで本人確認を完了しない運用が必要です。
3. 音声クローンで本人確認やヘルプデスクを突破する
AIによる音声クローンも、企業にとって無視しにくいリスクです。
短い音声サンプルから、本人に似た声を生成できるサービスが増えています。講演動画、ポッドキャスト、SNS動画、留守番電話など、音声の素材は意外な場所に残っています。
攻撃者は、こうした音声を使って、次のようななりすましを行う可能性があります。
- 経営層を装って経理担当者へ送金を依頼する
- 従業員を装ってヘルプデスクへパスワード再設定を依頼する
- 取引先を装って緊急対応を求める
- 家族や関係者を装って金銭を要求する
- 音声認証を利用する仕組みを悪用しようとする
米FBIも、AIで生成した音声やテキストを使い、米国の政府関係者になりすますキャンペーンについて警告しています。
音声が本人らしく聞こえることは、もはや本人確認として十分ではありません。重要な依頼ほど、別経路で確認する習慣が必要です。
4. 犯罪目的のダークウェブLLMを使う
ダークウェブや犯罪フォーラムでは、犯罪目的をうたうAIツールが売買されることがあります。
「WormGPT」のような名称で知られるツール群は、必ずしも完全に新しい基盤モデルとは限りません。正規のLLMを改造したもの、制限を外したラッパー、特定用途に調整されたツールなど、実態はさまざまです。
ただ、重要なのは、攻撃者向けに「AIを使いやすくする市場」ができていることです。
- フィッシングページの文面作成
- 詐欺メールの生成
- キーロガーやマルウェアのコード補助
- ランサムウェアの脅迫文作成
- 複数言語への翻訳
- 攻撃手順の整理
つまり、攻撃者はAIの知識が深くなくても、犯罪用途に整えられたツールを購入・利用できる可能性があります。
これは、Ransomware-as-a-Serviceと同じように、サイバー犯罪の参入障壁を下げる動きです。
5. 実行中に姿を変えるポリモーフィックマルウェアを作る
AIは、マルウェアの検知を難しくする方向にも使われます。
従来のマルウェア解析では、ファイルの中身、文字列、通信先、実行されるコマンド、既知のシグネチャなどを手がかりに検知や分析を行います。
しかし、AIを使うマルウェアでは、実行時にLLMへ問い合わせ、実際に実行するコマンドやスクリプトをその場で生成する可能性があります。
この場合、ファイル本体だけを見ると悪意ある処理が分かりにくくなります。実際の攻撃処理が、実行される瞬間まで存在しないからです。
ウクライナのCERT-UAは、LAMEHUGと呼ばれるマルウェアについて、Hugging Faceの推論APIに接続し、LLMから返されたシェルコマンドを実行する挙動を報告しています。
このような手法では、従来の静的解析だけでは不十分になります。プロセスの挙動、スクリプト実行、AI APIへの通信、ファイル列挙、データ送信などを組み合わせて見る必要があります。
6. エージェント型AIで侵入工程を自動化する
AIの悪用は、単発の文章生成やコード補助だけではありません。
攻撃者は、エージェント型AIを攻撃工程に組み込み、偵察、脆弱性確認、認証情報探索、横展開、データ持ち出しなどを自動化しようとしています。
人間がすべての作業を手で行うのではなく、AIに候補を調べさせ、スクリプトを作らせ、結果を整理させ、人間は要所で判断する形です。
この流れが進むと、攻撃者側の作業量は大きく減ります。
| 攻撃工程 | AIが補助し得る作業 |
|---|---|
| 偵察 | 公開情報、ドメイン、従業員情報、技術情報の整理 |
| 初期侵入 | フィッシング文面、攻撃コード、認証情報悪用手順の補助 |
| 横展開 | 内部ネットワーク情報の整理、権限拡大候補の抽出 |
| データ窃取 | 重要ファイルの分類、圧縮・送信対象の選別 |
| 恐喝 | 盗難データに合わせた脅迫文の作成 |
防御側としては、攻撃者の操作が高速化する前提で、初期侵入後の検知と封じ込めを早くする必要があります。
7. パスワード解析と認証情報悪用を高速化する
AIは、パスワード攻撃にも影響します。
漏えいしたパスワード群を学習し、人間が作りがちなパターンを推測する。辞書攻撃や総当たり攻撃の候補を効率化する。盗まれた認証情報を整理し、どのサービスに使えそうかを分類する。こうした作業にAIや機械学習が使われる可能性があります。
特に危険なのは、パスワードの使い回しです。
一つのサービスから漏えいしたメールアドレスとパスワードの組み合わせが、別のクラウドサービス、VPN、メール、社内システムで試されることがあります。これはクレデンシャルスタッフィングと呼ばれる手口です。
- 短いパスワード
- 辞書にある単語を含むパスワード
- 会社名やサービス名を含むパスワード
- 年月日や連番を含むパスワード
- 過去に漏えいしたパスワードの使い回し
パスワードだけで守る前提は、かなり厳しくなっています。
多要素認証、パスワードマネージャー、使い回し禁止、漏えい認証情報の監視、不要アカウントの削除は、AI時代でも基本中の基本です。
8. OSINTと偵察をAIで高速化する
攻撃者は、侵入前に多くの情報を集めます。
企業サイト、採用情報、技術ブログ、GitHub、SNS、登壇資料、IR資料、入札情報、ドメイン情報、漏えいデータ。こうした公開情報は、攻撃者から見ると貴重な材料です。
AIを使えば、膨大な公開情報を短時間で整理できます。
- 役員や管理者の特定
- 利用しているクラウドやSaaSの推測
- 開発技術やフレームワークの把握
- 取引先や委託先の関係整理
- 社内用語や業務文脈の収集
- 攻撃に使える公開情報の抽出
MicrosoftとOpenAIは、複数の国家系脅威アクターがLLMをサイバー活動の補助に使っていたとして、関連アカウントを停止したことを公表しています。また、Googleも、APTアクターが生成AIを偵察、脆弱性調査、スクリプト支援、回避技術の検討などに使っていたと報告しています。
ここから分かるのは、AIが新しい超能力を生むというより、従来の偵察や調査を速くしているということです。
9. 偽情報を大量に作り、拡散する
AIは、直接的な侵入だけでなく、情報操作にも使われます。
偽の記事、偽のSNS投稿、偽の人物プロフィール、音声クローン、ディープフェイク動画を大量に作り、特定の主張を広げることができます。
企業にとっても、これは無関係ではありません。
- 偽の不祥事情報を流される
- 経営者や社員の偽音声・偽動画を作られる
- 偽のプレスリリースやニュース風サイトで信用を傷つけられる
- 株価や取引先判断に影響する情報を拡散される
- 採用候補者や顧客に誤情報を届けられる
米国では、音声クローンを使ってバイデン大統領になりすましたロボコールが有権者に送られた事例が報じられました。また、OpenAIは2024年に、同社モデルを悪用しようとした複数の影響工作ネットワークを妨害したと公表しています。
偽情報は、政治や選挙だけの問題ではありません。企業のブランド、採用、IR、顧客対応にも影響するリスクです。
10. プロンプトインジェクションでAIシステムを悪用する
企業がAIアシスタントを業務に組み込むほど、新しい攻撃面も生まれます。
特に注意したいのが、プロンプトインジェクションです。
プロンプトインジェクションとは、メール、Webページ、文書、カレンダー招待などに悪意ある指示を埋め込み、AIアシスタントがそれを読み込んだときに、意図しない動作をさせる攻撃です。
OWASPのLLMアプリケーション向けリスクでも、Prompt Injectionは重要なリスクとして扱われています。
たとえば、AIアシスタントがメールや社内文書を検索し、回答を作る仕組みがあるとします。そこに悪意あるメールが入り込み、AIに「内部情報を外部リンクに含めろ」といった指示を紛れ込ませると、条件によっては情報漏えいにつながる可能性があります。
EchoLeakとして知られるCVE-2025-32711は、Microsoft 365 Copilotを対象としたゼロクリック型のプロンプトインジェクション事例として注目されました。細部の悪用手順を追うよりも、企業が学ぶべきことはシンプルです。
- AIが読むデータは、すべて信頼できるとは限らない
- 外部データと内部データを同じ文脈で扱うと危険が生まれる
- AIに与える権限は最小限にする必要がある
- AIの出力をそのまま外部送信・自動実行させる設計は慎重に扱うべき
AIを業務に組み込むほど、AIそのものもセキュリティ設計の対象になります。
10の攻撃手法に共通すること
ここまで見てきた攻撃には、共通点があります。
AIは、攻撃者にまったく新しい魔法を与えているわけではありません。むしろ、これまで存在していた攻撃を、速く、安く、自然に、広く行いやすくしています。
| AIが変える要素 | 攻撃側で起きる変化 |
|---|---|
| 時間 | 数日かかっていた調査や文面作成が短時間になる |
| 技術ハードル | 低スキルの攻撃者でも一定の作業を進めやすくなる |
| 自然さ | フィッシング、音声、映像、文章の違和感が減る |
| 規模 | 多数の標的に対して個別化した攻撃を展開しやすくなる |
| 検知回避 | 毎回少し違う文面やコードを作り、固定的な検知をすり抜けやすくなる |
守る側も、この変化に合わせる必要があります。
企業が今すぐ見直したい対策
1. 本人確認を「声」や「映像」だけに頼らない
ディープフェイクや音声クローンがある以上、重要な送金、契約変更、認証情報の再発行などは、別経路で確認する運用が必要です。
- 高額送金は複数人承認にする
- 電話や会議での依頼は、既知の連絡先に折り返して確認する
- 緊急性を強調する依頼ほど慎重に扱う
- ヘルプデスクの本人確認手順を見直す
2. AI生成フィッシングを前提に教育する
「日本語が変なメールに注意」だけでは不十分です。
自然な日本語で、取引先や上司らしいメールが届く前提で訓練する必要があります。
- リンク先で認証情報を入力しない習慣を徹底する
- 添付ファイルを開く前に文脈を確認する
- 請求・送金・認証依頼は別経路で確認する
- 迷ったときに報告しやすい窓口を用意する
3. IDと権限を強くする
AI時代でも、盗まれたIDは攻撃の入口になります。
- 多要素認証を徹底する
- 管理者アカウントを分離する
- 不要アカウントを削除する
- 共有アカウントを減らす
- 最小権限を徹底する
- 漏えい認証情報を継続的に確認する
4. AIシステムにもセキュリティ設計を入れる
AIアシスタントを業務で使う場合、AIに何を読ませるか、どこまで操作させるか、どの情報へアクセスできるかを慎重に設計する必要があります。
- AIに与える権限を最小限にする
- 外部入力と内部データを明確に分離する
- AI出力を自動送信・自動実行しない
- プロンプトインジェクションを想定したテストを行う
- AI利用ログを確認できるようにする
5. 振る舞いベースの監視を強化する
AIによって文面やコードが変化しやすくなると、既知のシグネチャだけに頼る防御は限界があります。
- 短時間の大量ファイルアクセス
- 不審なスクリプト実行
- AI APIやローカルLLMへの想定外の通信
- 大量データの外部送信
- 権限昇格や横展開の兆候
- 通常とは異なるログインや端末操作
攻撃の形が変わっても、被害に至る前の挙動を見つけることが重要です。
AI時代の守りは、攻撃者の使い方を知るところから始まる
AIは、守る側にとっても非常に有効な技術です。ログ分析、脆弱性管理、脅威インテリジェンス、インシデント対応、教育支援など、多くの場面で役に立ちます。
ただ、攻撃者も同じ技術を使います。
フィッシングは自然になり、偽の音声や映像は見抜きにくくなり、マルウェアは動的に変化し、偵察やデータ分析は速くなります。AIアシスタントを導入すれば、プロンプトインジェクションのようなAI特有の攻撃面も生まれます。
だからこそ、「AIを導入したから安全」ではなく、「攻撃者がAIをどう使うか」を前提に守りを見直す必要があります。
本人確認、権限管理、フィッシング訓練、振る舞い監視、AIシステムの設計。どれも派手ではありませんが、攻撃者にとっては確実にやりにくい環境になります。
AIを使う攻撃が増えるほど、基本的なセキュリティ対策の質が問われます。自社の業務でAIをどう使うかと同じくらい、攻撃者がAIをどう使うかも、一度見直しておきたいところです。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
