2025年5月、FBIは「米国高官になりすましたAI音声とテキストメッセージによる詐欺行為」が継続的に発生しているとして、緊急の注意喚起を発表しました。
この攻撃手法では、AIで生成された音声や偽のSMS(テキストメッセージ)を使って信用を得たうえで、標的のアカウントや機密情報にアクセスすることを目的としています。特に現職・元職の米政府関係者やその接点のある人物が対象となっており、国内外の情報システム部門にとっても無関係ではありません。
目次
攻撃の概要:AI音声と偽メッセージを使った「人間関係への侵入」
今回の事案では、次のような手法が確認されています。
-
Smishing(スミッシング):SMSやMMSで偽の連絡を送り、返信を誘導
-
Vishing(ヴィッシング):AI音声による偽の音声メッセージを送り信頼を獲得
-
リンク誘導型詐欺:他のメッセージアプリへ移動を促し、悪意あるリンクを送付
これらは一般的なスピアフィッシング(標的型攻撃)の手法を高度化させたもので、見知った人物になりすますことで標的の心的防御を下げることを狙っています。
特に音声詐欺では、AIで生成された音声により実在する政府関係者や知人の声が巧妙に再現されるため、従来のセキュリティ訓練では見抜けないケースが増えています。
ディープフェイクを用いた「BIC(ビジネスアイデンティティ侵害)」の脅威
FBIが2021年に公開した警告レポート(210310-001)では、こうしたAIによる偽装がサイバー攻撃の新たな局面「BIC:Business Identity Compromise」を形成するとしています。
BICとは:
-
合成メディアを用いて企業幹部や従業員を偽装
-
電話・SNS・ビデオ会議などを通じてなりすまし攻撃を実行
-
金銭詐取、情報窃取、風評被害などを引き起こす
特に顔画像・音声・文章などがSNSやWeb上で公開されている企業にとっては、素材が攻撃者に悪用されるリスクが増しているといえます。
組織が取るべき対策
FBIおよびCISAが推奨する対策を以下に整理します。
疑わしい連絡の見分け方
-
電話番号やメールアドレスの微妙な違いに注意
-
AI音声はイントネーションや間の取り方に違和感がある場合が多い
-
顔画像やプロフィールが不自然な場合、合成コンテンツの可能性あり
-
送信元が「新しい連絡手段に移る」と主張してきた場合は要注意
防止策・対処策
-
2要素認証の強化と認証コードの絶対非共有
-
信頼できるチャネルでの再確認(新しい番号やアカウントは一度確認する)
-
社内向け啓発と訓練の実施(AI詐欺対応を含む)
-
家族・同僚との秘密の合言葉をあらかじめ共有
-
詐欺被害時の通報体制整備(FBI・IC3への報告)
まとめ:リアルとバーチャルの区別がつかない時代の備えを
生成AIの急速な進化により、「本物そっくりの偽物」が誰でも簡単に作れる時代が到来しています。
今回のFBIの警告は、人間の信頼関係や組織の内部ネットワークそのものが攻撃対象になることを意味しており、単なる技術的防御では不十分です。
情報システム部門としては、セキュリティポリシーの見直し、従業員トレーニング、インシデント対応体制の整備など、多層的な対策が今後ますます重要になります。
参照
https://www.ic3.gov/PSA/2025/PSA250515
関連記事
TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口
北朝鮮のIT労働者が企業に侵入し身代金を要求
偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン
ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)
ランサムウェア グループ AkiraがIPカメラ(Webカメラ)を介してサイバー攻撃と不正アクセス
ローツェ株式会社、台湾子会社で発生したランサムウェア被害の調査結果を報告-重大な情報流出の痕跡なし
中国製太陽光発電インバーターに潜む“見えない脅威”-太陽光発電が抱えるサイバーリスクとは
NISTの脆弱性の新指標 LEVとは-脆弱性が実際に悪用されている可能性を数値化
npmにて60件の悪意あるパッケージが発見、開発環境のネットワーク情報をDiscordへ送信
