攻撃者が生成AIを道具に使う手口と怪しい兆候の見分け方
対象の目安: 一般利用者から情報システム担当まで

生成AIは文章や画像、音声、プログラムを短時間で作る道具です。便利な道具である以上、攻撃者の手にも渡ります。本記事が扱うのは、攻撃者が生成AIを攻撃の補助道具として使う場面、つまりフィッシングメールの量産やなりすまし詐欺、不正なスクリプトの作成補助といった使われ方です。AIそのものを狙う攻撃ではなく、攻撃者が道具としてAIを使う側を整理します。
この区別ははじめに押さえておく価値があります。AIシステムへの入力を細工して想定外の動作を引き出すプロンプトインジェクションは、AIを攻撃する側の話です。本記事はその逆で、攻撃者がAIを使って従来の攻撃を効率化したり巧妙化したりする側を扱います。両者は守る対象も対策も異なるため、別の問題として整理します。詳しくは関連記事で整理しています。
あわせて読みたい
プロンプトインジェクションとは。AIエージェント時代の新しい攻撃と防御
攻撃者が生成AIを使うと何が変わるのか
攻撃の質が一段上がり、量も増えやすくなる、というのが大きな変化です。生成AIは自然な文章や本人に似た音声を低い手間で作れるため、攻撃者は一通ずつ手で書いていた作業を効率化できます。IPAは「情報セキュリティ10大脅威 2026」組織編で「AIの利用をめぐるサイバーリスク」を初選出で3位に位置づけています。この項目は、攻撃者によるAIの悪用だけでなく、業務での不用意なAI利用による情報漏えいや、生成物の誤りといったAI利用全般のリスクを含む評価です。本記事が扱う攻撃者による悪用は、そのうちの一要素にあたります。1位の「ランサム攻撃による被害」と2位の委託先やサプライチェーンを狙った攻撃に次ぐ順位でこの項目が初登場したことは、AIをめぐるリスクが無視できない規模になっていることを示します。
ただし、生成AIが何か新種の攻撃を生み出したわけではありません。フィッシングもなりすまし詐欺も以前から存在します。変わったのは、攻撃者がこれらを作る速度と仕上がりです。これまで攻撃者の語学力や手間が抑止要因になっていた部分が、道具によって埋められたため、防御側は「作りが粗いから怪しい」という経験則に頼りにくくなりました。
この前提を踏まえると、対策の重心は文面や見た目の粗探しから、依頼の中身そのものを別経路で検証する側へ移ります。以降では具体的な悪用手口を行為者を主語に見たうえで、なぜ従来の見分け方が通用しにくくなったのか、その機構を確認します。
フィッシングメールの高品質化と量産
攻撃者は、生成AIに業務メールらしい文面を作らせることで、フィッシングメールの質を上げ、数を増やします。従来のフィッシングメールには、機械翻訳特有のぎこちない日本語や不自然な敬語が混じることが多く、利用者はそこを手がかりに見破ってきました。攻撃者が生成AIに自然な日本語で取引先や社内連絡を装う文面を作らせると、この手がかりが薄れます。
量の面でも変化があります。攻撃者は、宛先や役職に合わせて文面を少しずつ変えた大量のメールを短時間で用意できます。標的の業種や役割に応じて文面を調整する標的型の作り込みも、生成AIに下書きさせれば手間が下がります。JPCERT/CCの四半期レポートでも、寄せられる報告の多くをフィッシングサイトに関するものが占める状況が続いており、フィッシングが量的に大きな脅威であり続けていることがうかがえます。
ここで注意したいのは、文面が自然になっても、メールが要求する行為そのものは変わらないという点です。緊急の送金、認証情報の入力、添付ファイルの実行といった要求は、文面の巧拙にかかわらず存在します。後述するとおり、見分けの重心は文章の粗さから、要求の内容と確認手段へ移ります。フィッシングへの基本的な備えは引き続き前提になります。
あわせて読みたい
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
ディープフェイクの音声や映像によるなりすまし
攻撃者は、本人に似せた音声や映像を生成AIで作り、経営層や取引先になりすまして送金や操作を指示します。ディープフェイクと呼ばれるこの手口は、公開されている動画や音声から本人の声や顔の特徴を学習させて作られます。役員がメディアに出演していたり、登壇動画が公開されていたりすると、その素材が悪用される余地が生まれます。
実際の被害も報じられています。香港では2024年、多国籍企業の財務担当者がビデオ会議に参加した結果、本社のCFOらになりすましたディープフェイクの参加者にだまされ、複数回にわたって計約2億香港ドルを送金する事件が起きたとCNNなどが報じました。会議の相手が動いて話す映像であっても、それが本物である保証にはならないことを示す事例です。なお、電話の声を使ったなりすまし自体は以前からあり、警察庁もサイバー警察局の注意喚起一覧で2026年6月に「巧妙化するボイスフィッシング被害に注意」として警戒を呼びかけています。これは生成AIによる音声を名指しした注意喚起ではありませんが、合成音声が加われば、電話越しの声を手がかりにした本人確認はいっそう難しくなります。
なりすましが成立するのは、人が声や顔という生体的な手がかりを本人確認の根拠にしてしまうからです。普段なら「上司の声だから本人だ」と判断できたものが、その声自体を合成できるようになると、判断の前提が崩れます。送金や重要な操作の指示が、電話やビデオ会議という一つの経路だけで完結してしまう運用は、この手口に弱くなります。
マルウェアや不正スクリプト作成の補助
攻撃者は、生成AIをマルウェアや攻撃用スクリプトを書く際の補助にも使います。国内では2024年に、対話型の生成AIを使ってマルウェアを作成したとして摘発された事例が報じられ、生成AIがコード作成の補助として悪用されうることが具体的に示されました。多くの生成AIサービスは不正な用途への利用を制限していますが、指示の与え方を工夫してこの制限をすり抜けようとする試みは続いています。
もっとも、この用法は誇張して受け取らないほうが正確です。生成AIが完成したマルウェアを丸ごと自動で生み出し、専門知識のない者が高度な攻撃を即座に実行できる、という状況が一般化しているわけではありません。現状で確認しやすいのは、コードの断片を書かせる、既存の手口を言語化させる、といった補助としての利用です。攻撃の敷居を下げる方向に働く要因として注意は要りますが、実態に即して捉える必要があります。
なぜ従来の見分け方が通用しにくくなるのか
不自然な日本語という手がかりが弱まる理由は、生成AIが自然な文章を作れるという一点に尽きます。フィッシングの見破り方として長く使われてきた「日本語がおかしい」「敬語が不自然」という基準は、文章の作り手側の能力に依存していました。攻撃者がその能力を道具で補えるようになると、この基準は当てにならなくなります。同じ理由で、声の質感や話し方の自然さに頼る電話越しの本人確認も、音声を合成できる以上は確実な根拠になりません。
この変化を正しく理解するために、何が変わって何が変わっていないかを分けて考えます。変わったのは、文面の自然さや音声の質といった、攻撃の見た目の完成度です。変わっていないのは、攻撃が最終的に要求する行為です。フィッシングなら認証情報の入力や送金、なりすまし詐欺なら口座への送金が目的であり、ここは生成AIを使っても同じです。
したがって、見分けの軸を見た目の粗探しから要求内容の検証へ移すことが、この変化への合理的な応答になります。完成度の高さは見分けの手がかりとして弱くなりましたが、要求の中身と、それを別経路で裏取りできるかという軸は、依然として有効です。次節ではこの考え方を具体的な対処に落とします。
個人と組織の見分け方と対策
個人の利用者がまず持つべき基準は、文面や声の自然さで本物かどうかを判断しないという姿勢です。自然な日本語のメールや、本人らしい声の電話であっても、金銭の送付や認証情報の入力、普段と違う操作を求めてきたら、いったん立ち止まります。判断のよりどころは、依頼が来た経路とは別の、自分が信頼できる連絡先で確認することに置きます。
組織では、なりすましに対して別経路での本人確認を業務手順に組み込みます。警察庁はビジネスメール詐欺への対策として、送金に関するメールを受け取った際は、送信元とされる取引先担当者に電話やFAXなどメール以外の方法で内容を確認するよう求めています。あわせて、メールに書かれた連絡先は偽装されている可能性があるため、名刺や自分のアドレス帳にある連絡先を使うよう注意しています。この「依頼の経路と確認の経路を分ける」考え方は、ディープフェイク音声による送金指示にも同じように効きます。
技術的な備えと教育も並行します。フィッシング対策としてのメール認証や多要素認証、不審なメールを開いた場合に被害を限定する仕組みは、文面が巧妙になっても引き続き土台になります。教育では、不自然な日本語に頼る見分け方が弱くなったこと、声や映像も合成されうることを具体例とともに伝え、確認手段を経路で分ける習慣を定着させます。社会工学への理解全体を底上げしておくと、新しい手口にも応用が効きます。送金にかかわる詐欺の具体的な手口とあわせて、それぞれ関連記事も参考になります。
あわせて読みたい
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
あわせて読みたい
ビジネスメール詐欺(BEC)の手口と組織的対策。送金プロセスを統制で守る
生成AIを使った攻撃に備えるための確認点
- メールや電話の自然さだけで本物と判断していないか
- 送金や認証情報の入力を求める依頼を、別の信頼できる経路で本人確認する手順があるか
- 経営層へのなりすましに備え、緊急送金時の確認ルールを決めているか
- 多要素認証やメール認証など、文面の巧拙に依存しない技術的対策を導入しているか
- 不自然な日本語に頼る見分け方が弱まったことを、教育で利用者に伝えているか
送金や重要な操作を求められたときの確認手順
- 1
依頼が来た経路(メールや電話やビデオ会議)とは別の経路を使う
- 2
連絡先はメール本文ではなく、名刺やアドレス帳など自分が管理する情報から選ぶ
- 3
緊急や秘密を理由に確認を省かせようとする圧力がないか点検する
- 4
少しでも不審なら、組織のルールに従って上長や担当部署へ相談する
本記事のうち、IPAの脅威順位と初選出は「情報セキュリティ10大脅威 2026」とそのプレス発表(2026年1月29日)、別経路での本人確認はビジネスメール詐欺に関する警察庁の対策、ボイスフィッシングへの注意喚起は警察庁サイバー警察局の注意喚起一覧、ディープフェイクによる送金被害の事例はCNNの報道にもとづきます。確認できない数値や固有名は記載していません。
生成AIは攻撃の見た目の完成度を引き上げましたが、攻撃が要求する行為そのものは変えていません。文面の自然さや声の本人らしさは、もはや本物である根拠になりにくくなっています。個人は依頼の中身で立ち止まり、組織は依頼の経路と確認の経路を分ける手順を備えることが、道具としてのAIを使った攻撃に対する現実的な構えになります。
出典・参考
関連する記事
プロンプトインジェクションとは。AIエージェント時代の新しい攻撃と防御
LLMアプリやAIエージェント、コーディング支援を狙うプロンプトインジェクションの仕組みを、直接型と間接型に分けて解説。実例とOWASP/IPAの最新動向をもとに、権限分離や人間の承認といった実務の防御設計までを整理します。
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
技術の脆弱性ではなく人の心理を突くソーシャルエンジニアリング。なりすまし、プリテキスティング、テールゲーティングといった代表的な手口の原理と成立条件、個人と組織でできる対策を、専門知識がなくても分かるように実務目線で解説します。


