生成AIによりフィッシング詐欺が高度化

セキュリティニュース

投稿日時: 更新日時:

生成AIによりフィッシング詐欺の高度化

カスペルスキーの最新レポート(2025年8月13日)で音声・映像のディープフェイク、Telegramボット、Google翻訳やtelegra.phの悪用、blob:スキームの隠蔽、そして生体・電子署名など“取り消せないデータ”の狙い撃ちにどう備えるべきか。技術・運用・教育の優先度付き対策を提示しています。

何が変わったのか

フィッシング詐欺は過去に配信されていた、もはや非日本語圏が作成したであろうメールや誤字だらけのメールではありません。

生成AIの普及で、文法・文体・用語が正確な“本物そっくり”のメッセージやWebサイトが短時間で大量に作られます。加えて、AIボットによる継続対話、音声クローンやディープフェイク動画、SNS・メッセージングを介した多段階のだましが一般化しています。結果として、従来の見分け方やメールゲートウェイのルールだけでは取りこぼしが増えています。

文章生成から会話・音声・映像へ

犯罪者はチャットボットを使って同時に多数の相手と会話を続け、恋愛感情や信頼感を装いながら仮想通貨投資に誘導します。

電話では音声合成と番号詐称を組み合わせ、銀行や社内ITを名乗って「不正利用があったのでワンタイムコードを確認したい」と迫ります。

動画では有名人や上司になりすますディープフェイクが増え、景品配布や緊急送金を急がせる筋書きで判断を鈍らせます。

OSINTと生成AIによる精密なパーソナライズ

公開情報の収集と要約が自動化され、企業名、部署名、稟議の流れ、人事異動などの断片がつなぎ合わされます。

そこから作られるメールやチャットは内部事情に踏み込んだ文面になり、たとえ技術に明るい担当者でも「内情を知っている相手らしい」と錯覚しやすくなります。ビデオ通話での成り済ましと組み合わさると、通常の本人確認手順が形骸化しがちです。

AIで量産される偽サイト

本物とそっくりのデザインを短時間で再現できるため、金融、観光、配送などのブランドをかたる偽サイトが絶えず立ち上がります。中には、実在サービスにそもそも存在しない「ログイン画面」まで誂え、入力されたあらゆる情報を吸い上げるだけの雑な作りのサイトもあり、規模の大きいキャンペーンに混ぜて運用されています。

Telegram経済圏の悪用

Telegramはボットと暗号資産の相性が良く、攻撃の踏み台にも目標そのものにもなっています。偽のトークン配布を装って入金や本人確認を求める手口、配送業者を名乗って住所や連絡先を拾い集める手口、短い動画視聴で小遣い稼ぎができると誘う手口などが定番化しました。ボットは一度接点を持つと通知で追い打ちができるため、ユーザーが気持ちを切り替えにくいのが厄介です。検証コードを奪うための偽URLは、メッセージの編集機能を使って表示と実際の遷移先をずらすなど、目視での判別を難しくしています。

正規サービスの“盾”を使った隠蔽

文章掲載サービスのtelegra.phで誘導用の長文ページを作り、そこから本命の偽サイトへ流すやり方が広がっています。Google翻訳のページ変換リンクを経由させてURLの見た目を正規風に整え、ブロックを回避する例も珍しくありません。さらに、CAPTCHAを意図的に組み込んで「ちゃんとしたサイトらしさ」を演出し、対策製品や人間の警戒心をくぐり抜けます。

blobスキームによる検知回避

ブラウザ内の一時URLである「blob:」スキームを使い、攻撃用のHTMLやバイナリをローカルに展開して見せるやり方が増えています。通信の最終到達点が見えにくく、URLフィルタやゲートウェイのルールだけでは追い切れないケースが出ます。ユーザーは通常のサイトと同じ感覚で入力を進めてしまい、気付かないうちに情報を送信してしまいます。

“取り消せないデータ”の狙い撃ち

狙いはIDとパスワードから、生体情報、電子署名、手書き署名などの相続可能性が低いデータへと移りました。カメラやマイクへのアクセス許可を言い訳に顔や声を集めたり、電子署名サービスのアカウントを奪って社内の承認プロセスを乗っ取ったりする試みが目立ちます。これらは一度漏れると差し替えが難しく、被害の尾を引きやすい点が従来の情報漏えいと決定的に違います。

多段構成で2FAを突破するソーシャルエンジニアリング

配送業者を装った偽の通知で無意味なコードを送って布石を打ち、その直後に「あなたは詐欺に狙われている」と名乗る別の役回りが電話で脅しをかけ、本物のワンタイムパスワードを口にさせる――こうした二段構えの演出が広がっています。相手に考える時間を与えないことで、普段の判断力を封じるのが狙いです。

情シスの優先度付き対策

最初に手を付けるべきは認証の足回りです。社内ポータルや主要SaaSの認証からSMSやメールのワンタイムコードを外し、FIDO2/パスキーへ移行してください。

移行が難しいサービスはTOTPアプリを標準にし、承認通知の連打で疲弊させる手口を想定したレート制限や番号一致方式を用意します。高額送金や振込先の変更、署名権限の付与といった操作には、別チャネルの再確認をワークフローに組み込み、個人の判断に依存しない仕組みにしておくと効果的です。

同時に、通信経路の検査を一段引き上げます。メールやプロキシでは、translate.googやtelegra.ph、短縮URLを必ず展開して最終ドメインで判定し、ブラウザ側はサイト分離やダウンロードの検疫を既定で有効にします。

添付ファイルやリンク先のコンテンツはクラウドサンドボックスで動かし、結果はSIEMに自動で引き渡すようにしておくと、運用の手戻りが減ります。

音声と映像のなりすましは、技術で完璧に見破るよりも手順で吸収する発想が現実的です。

緊急連絡や送金依頼があった場合は、必ず社内名簿に登録された番号に折り返す運用を徹底します。合言葉のような静的な確認方法は広まりやすいので、承認フローと二者確認に置き換えたほうが安心です。

メッセージングアプリの扱いも見直してください。業務端末ではTelegramや匿名SNSを原則禁止または申請制とし、BYOD規程には業務関連の認証情報やワンタイムコードを私的チャットで共有しないこと、違反時の扱いまで含めて明記します。電子署名の基盤は業務ネットワークから分離し、ブックマークや専用ポータルからアクセスするのを原則とします。メールのリンク経由は誤誘導を招きやすいため、避けたほうが無難です。ブラウザやOSの設定では、カメラやマイクの権限を既定で拒否し、会議用ドメインなど必要な範囲だけを許可します。

検知と対応の体制も並行して整えます。SIEMでは、短時間に集中するtranslate.goog経由のアクセス、blobの生成直後にフォーム送信が続く振る舞い、CAPTCHA通過直後に外部へPOSTされる動きなどを組み合わせてアラート化します。夜間の認証失敗が続いたあとに成功し、すぐ権限変更や支払設定の更新が行われる場合も危険信号です。ワンタイムコードの漏えいが疑われたときは、MFAのリセットやセッションの強制終了、財務・人事SaaSの一時ロックまで自動で踏み切れるプレイブックを用意すると、被害の広がりを抑えられます。

ユーザー教育:見た目の違和感探しから、手順の確認へ

従業員には、リンクの最終的な遷移先を確認する習慣を根付かせてください。翻訳サービスや短縮URLを経由している場合は特に注意が必要で、CAPTCHAがあるからといって安心材料にはなりません。ワンタイムコードは相手が銀行でも配送業者でも社内ITでも、誰にも伝えないことを徹底します。ディープフェイクは細部の不自然さを手がかりに見抜ける場合もありますが、最終的には折り返し連絡や複数人の承認といったプロセスで担保するのが確実です。あわせて、部署名や上司名、出張予定、書類の写真など、後の攻撃に使われそうな情報の公開を控えるよう促します。