AIを悪用するフィッシング攻撃の脅威

Security NEWS TOPに戻る
バックナンバー TOPに戻る

AI技術の急速な進化により、フィッシング攻撃がかつてない脅威へと変貌しています。自然な文章生成や高度なカスタマイズにより、巧妙な詐欺メールが急増。PhaaS（Phishing as a Service）などの攻撃手法も拡大し、被害は企業・個人問わず深刻化しています。本記事では、AIを悪用したフィッシングの最新動向と、その対策について解説します。

contents

第一章：進化するフィッシング攻撃の現実

AIによって進化するフィッシングの特徴

大規模言語モデル（LLM：Large language Models）などの生成AIの登場により、フィッシング攻撃は新たな局面に突入しています。かつては不自然な日本語や文法ミスから容易に見抜くことができた詐欺メールが、AIによって劇的に変貌を遂げているのです。攻撃者はAIを活用することで、非常に自然な文体で説得力のあるメッセージを短時間かつ大量に作成できるようになり、より省コストで、大規模に個人や組織に向けて一斉に攻撃を仕掛けることが可能となりました。このことが被害の急増につながっています。また、攻撃者が受信者の業種や役職、使用しているサービスなどに合わせた「カスタマイズされた」フィッシングメールを自動生成することができるようになっている点、過去の成果を上げたフィッシングメールをAIに学習させることで、より洗練された文章を生成できるようになっている点も注目に値します。

従来、こうしたフィッシングメールへの防御策は、スパムフィルターやブラックリストベースの検出に依存していましたが、生成AIによって生み出されるフィッシングメールは、これらの検出を回避する表現力と柔軟性を備えており、組織にとって新たな脅威となっています。

AIによるフィッシング攻撃は成功率が高い

生成AIによって作成されたフィッシングメールの危険性は、目を見張るものがあります。実際の調査では、AIが生成したフィッシングメール内にあるリンクのクリック率が50%を超えるケースも報告されています。これは従来のフィッシングメールと比較して、極めて高い成功率です。AIによって自然な文章が生成されることで、受信者は「本物らしさ」を信じてしまい、疑いなくリンクをクリックしてしまいます。攻撃者にとっては、より多くの被害者を効率よく騙す手段として、AIの活用は極めて有効かつ妥当であり、今後もこの傾向はますます拡大すると予想されます。

フィッシング対策協議会「フィッシングレポート2025」

フィッシング対策協議会が発行した「フィッシングレポート2025」によると、国内の2024年のフィッシングURL数は前年比で約10万件増加し、報告件数は依然として高水準のままで推移しています。この増加傾向の背景には、生成AIの台頭やPhaaS（Phishing as a Service）といったサービス型攻撃の拡大があるとされており、単に件数の増加に着目するだけでなく、攻撃の質も高度化していることを理解する必要があります。そのため、企業や組織は、AI時代に対応した新しい視点での対策が求められているのです。

図 1-1 国内のフィッシング情報の届け出件数 — 出典：フィッシング対策協議会「フィッシングレポート2025」

第二章：AI時代にアップデートされるフィッシングの脅威

フィッシングとは

フィッシングとは、本物に見せかけたメールやWebページを使って、ユーザから機密情報を不正に取得する詐欺手法です。標的となるのは、クレジットカード番号やログインID・パスワード、社内システムの重要情報といった、機密性の高いデータです。この種の攻撃は、単に「個人の問題」にとどまらず、企業全体に深刻な影響を与える可能性があります。従業員がフィッシングメールに騙されてアカウント情報を入力してしまえば、攻撃者は企業ネットワークに侵入する足がかりを得てしまいます。これにより、内部情報の漏えい、金銭的損失、業務の停止、ブランド価値の毀損といったリスクに繋がる危険性があります。特に、クラウドサービスの利用が進んだ昨今では、従業員の判断ミスひとつが甚大な被害に直結するケースが増えており、改めて「フィッシングとは何か」を経営層も含めて正しく理解し、組織として備える必要があります。

AIで生成したフィッシングメールの実例

AI技術の導入により、フィッシングメールの文面は劇的に洗練されつつあります。以下に紹介する実例は、生成AIを用いて作成されたとみられるもので、見た目・構成ともに極めて完成度が高く、詐欺であることを文面から見破るのは非常に困難です。

「●●証券」から送信されたとされる二要素認証の案内メールは、緊急性と不安を巧みに演出し、受け取った人にクリックを促す構成になっています。しかも、文法的な破綻や不自然な日本語表現は一切見られず、いかにも“それらしく”見える表現で構成されています。

さらにこのメールをソーシャル・エンジニアリング的目線で見ると、ソーシャル・エンジニアリングフレームワークの権威であるクリストファー・ハドナジー氏が提唱するところの心理誘導テクニック──「権威」「言質と一貫性」「希少性」など──が緻密に盛り込まれており、クリックさせることに特化した設計が施されていることがわかります。生成AIは、こうした心理的トリガーを大量に組み合わせた文章を容易に生み出し、単なる誤認ではなく“心理的にクリックしてしまいやすい”状況を作り出すのです。

Phishing-as-a-Service（PhaaS）とは

フィッシング攻撃が増加傾向にある状況を生み出している要因の一つが、「Phishing-as-a-Service（PhaaS）」です。PhaaSとは、フィッシング攻撃を「サービス」として提供するビジネスモデルです。PhaaSを利用すれば、攻撃者自身が高度な技術や知識を持っていなくても、容易に本格的なフィッシング攻撃を実行できるようになります。

たとえば、近年注目を集めているのが、「Darcula Suite」と呼ばれるAI搭載型のフィッシング支援ツールです。Darcula Suiteは、Telegram上で操作可能なPhaaS型のツールで、生成AIを活用することで、フィッシングページの自動生成や、複数ブランドの模倣、さらには複数チャネルへの同時展開が可能になっています。特筆すべきは、こうしたPhaaSが、生成AIを利用して自然な文章を瞬時に作成する機能を有しており、言語面の完成度を飛躍的に高めている点です。これにより、フィッシング攻撃の“敷居”が著しく低下すると同時に、フィッシングがより広範に、効率的に、高品質に展開されることにつながっています。

第三章：フィッシング攻撃への対策

組織側の基本対策

AIを悪用したフィッシング攻撃の脅威に対抗するためには、組織としての技術的・運用的な備えが欠かせません。ここでは、フィッシング対策協議会のガイドラインや、最近のフィッシング攻撃の傾向にもとづき、企業が取るべき具体的な対策を整理します。

多要素認証（MFA）の導入

IDとパスワードだけに依存せず、物理的なデバイスや生体認証などを組み合わせることで、不正アクセスのリスクを大幅に軽減できます。特に、FIDO2やWebAuthnに対応したパスワードレス認証方式の採用は、フィッシング耐性の高い選択肢として注目されています。

送信ドメイン認証技術（SPF、DKIM、DMARC）の導入と運用

これらは、メールの正当性を検証し、なりすましメールを排除するための基本的な仕組みです。たとえば、DMARCはSPFやDKIMの結果にもとづき、認証に失敗したメールを破棄・隔離するポリシーを設定できます。大手企業では導入率が8割を超えていますが、ポリシー設定が「none（監視のみ）」のままであるケースも少なくありません。今後は、段階的に「quarantine（隔離）」や「reject（拒否）」への移行を進める必要があります。

URLフィルタリングやブランド偽装への対策も

自社ブランドが悪用されるリスクを下げるため、使用していないドメイン・サブドメインの維持管理や、廃止予定ドメインの防衛的保有などを検討すべきです。ドロップキャッチ（廃止ドメインの悪用）によるなりすましを防ぐためには、ブランドドメインを「資産」として捉え、組織的に管理する視点が求められます。

受信チャネルごとの監視とログ分析の体制整備

メールやWebだけでなく、SMSやメッセンジャー、SNSといった多様なチャネルに対応したセキュリティ監視が不可欠となっています。

AIを用いたフィッシング攻撃は、単に「文面が巧妙」というだけでなく、規模・速度・多様性という点で従来型攻撃を凌駕しています。組織が対抗するには、技術・体制の両面から「AI時代の防御モデル」へのアップデートが求められているのです。

フィッシング対策ガイドライン重要５項目

フィッシング対策協議会のガイドラインには重要5項目が掲げられています。

重要項目[1] 利用者に送信するメールでは送信者を確認できるような送信ドメイン認証技術等を利用すること
重要項目[2] 利用者に送信する SMS においては、国内の携帯キャリアに直接接続される送信サービスを利用し、事前に発信者番号等を Web サイトなどで告知すること
重要項目[3] 多要素認証を要求すること
重要項目[4] ドメイン名は自己ブランドと認識して管理し、利用者に周知すること
重要項目[5] フィッシングについて利用者に注意喚起すること

利用者側の基本対策

フィッシング被害を防ぐうえでは、システム的な対策と並行して、従業員一人ひとりの行動変容も不可欠です。以下に、利用者が日常業務で実践すべき基本的な対策を紹介します。

セキュリティ対策製品（メールフィルタ、ウイルス対策ソフト、URLチェック機能付きブラウザ等）の導入・活用

「見覚えのないメールのリンクを直接クリックしない」といったような、基本姿勢の徹底が重要です。正規のログインページをブックマークし、メール内のリンクを使わずにアクセスする習慣を身につけるだけでも、多くの被害を未然に防ぐことができます。

社員へのセキュリティ教育・定期的な訓練

実際のフィッシングメールを模した「模擬訓練（フィッシングシミュレーション）」を通じて、従業員が経験を得ることは非常に効果的です。こうした訓練を定期的に実施することで、判断力が鍛えられ、攻撃への耐性が強化されます。

フィッシング攻撃は巧妙化し続けており、「注意していれば引っかからない」という従来の感覚はすでに通用しません。企業は、利用者のリテラシー強化も含めて、組織全体で「守る力」を底上げしていく必要があります。

最後に

生成AIの進化により、国内のフィッシング被害は急増していますが、その背景には「言語の壁が崩れたこと」と、「危険に対する認識のアップデート不足」があると感じます。運営側も利用者側も、古い知識や信頼性の低い情報に頼らず、まずはフィッシング対策協議会が示すガイドラインに正しく向き合うことが重要です。ネット上のよくわからない情報やSNSの“有識者”の意見を鵜呑みにせず、信頼できる情報源にもとづいて、地に足のついた対策を進めていきましょう。