生成AI技術の急速な進化により、私たちの生活は格段に便利になりました。しかし、その一方で、この技術を悪用した詐欺被害が世界中で急増しています。音声、映像、文章など、あらゆるコンテンツを本物そっくりに生成できるようになった生成AIは、詐欺師にとっても強力な武器となっています。本記事では、実際に発生した生成AI詐欺の事例を紹介し、個人や企業がどのように対策すべきかを解説します。
生成AI詐欺の実例:世界で起きている被害
1. ディープフェイクビデオ会議詐欺:40億円の被害
2024年5月、英国のエンジニアリング大手アラップの香港支社で、史上最大規模の生成AI詐欺事件が発生しました。詐欺グループは、CFO(最高財務責任者)など複数の重役になりすました偽のビデオ会議を設定し、経理担当社員を騙して2億香港ドル(約40億円)を詐取しました。
この詐欺の恐ろしい点は、ビデオ会議に登場した人物たちが、社員が知っている同僚と容貌も話し方も酷似していたことです。AI技術を使って本物そっくりの映像と音声を生成し、リアルタイムで会議を進行させたのです。被害者は疑うことなく、指示通りに詐欺グループの口座へ大金を振り込んでしまいました。
2. AI音声クローンによる家族なりすまし詐欺
2023年3月、米国アリゾナ州で、母親が娘の声そっくりのAI音声で「助けて!」と叫ぶ誘拐を装った電話を受けました。詐欺師は娘の声を完璧に再現し、高い感情的圧力をかけて金銭を要求しました。母親はその声が本物だと信じ込み、パニック状態で金銭を支払おうとしましたが、幸い詐欺であることが発覚しました。
カナダでも同様の事件が発生しています。2023年にサスカチュワン州で、AIで生成された孫の声に祖母が騙され、3000カナダドルを詐欺師に送金してしまいました。わずか数秒の音声データがあれば、生成AIを使って本人そっくりの偽の声を作れる時代になっているのです。
3. 企業の経営者なりすまし詐欺
企業の社長の声に似せたAI音声を悪用し、電話で担当者に「急ぎの取引案件があるから送金してほしい」と伝え、指定の口座に金銭を振り込ませる事件が国内外で発生しています。
経営者の場合、インタビューや株主総会などの動画がインターネット上で公開されている場合も多く、AIに学習させるための肉声が簡単に手に入ってしまう状況にあります。中国では、WeChatでビデオ通話を受けた被害者が、友人の顔と声を複製した偽者に騙され、8500万円を詐取される事件も発生しました。
4. フィッシングメールの精巧化と大量発生
ChatGPTのリリース後、フィッシングメールが急増しました。海外のメールセキュリティメーカーVadeの調査では、2022年11月の4700万件に対し、12月には1億6900万件を超え、前月比260パーセント増加しました。
従来のフィッシングメールには明らかなスペルミスや文法ミスがあり、比較的容易に見破ることができましたが、AIが生成したメールは文法的に完璧で、正規の企業や個人から送られてきたもののように見える精巧さを持っています。2024年の研究では、AIが作成したフィッシングメールのリンククリック率は50パーセントを超え、人間の専門家が作成したメールと同等以上の成果を出すことが明らかになりました。
日本でも影響が出ており、プルーフポイントの2024年レポートによると、ビジネスメール詐欺(BEC)攻撃が前年と比べ35パーセント上昇しました。生成AIにより、各地域の言語を用いたパーソナライズされた説得力のあるメールが簡単に作成できるようになったためです。
5. 偽サイトとAIチャットボットの組み合わせ
近年、楽天などの大手ショッピングサイトを装った偽サイトが相次いで発覚しています。これらの偽サイトには20言語に対応したAIチャットサービスが組み込まれており、利用者からの質問に対して自然な文章で回答する仕組みになっています。
従来の偽サイトは日本語が不自然であるため見抜きやすかったのですが、AIチャットが進化すると、こうした見抜きやすいポイントが減少し、より多くの人が被害に遭うリスクが高まります。
6. 日本初の生成AIマルウェア作成事件
2024年5月、生成AIを悪用してランサムウェアを作成したとして、警視庁が川崎市の男性を逮捕しました。生成AIを使用してマルウェアを作成したことに起因する逮捕は国内では初めての事例です。
被告は「非公式版のChatGPT」を悪用してマルウェアを作成し、「ランサムウェアによって楽に金を稼ぎたかった」と供述しています。注目すべきは、この容疑者がIT企業での勤務経験など専門性を持たないことで、いわゆる「ITに精通していない人」でも生成AIを用いることで悪意のあるプログラムを作れてしまったという点です。
なぜ生成AI詐欺は危険なのか
リアルさと精巧さ
生成AIは非常にリアルな画像、音声、ビデオ、テキストを生成することが可能です。偽のディープフェイクビデオは非常にリアルで、ターゲットがそれを本物だと信じ込んでしまう精度に達しています。
個人情報の漏洩リスク
詐欺師はAIを活用して、ターゲットの行動パターンや嗜好を詳細に学習し、その情報を基に精巧な攻撃を仕掛けます。SNSやインターネット上の公開情報を収集し、ターゲットの関心や趣味に合わせた内容を織り込むことで、説得力を高めています。
大規模化と効率化
AIはターゲットのメールアドレスを収集し一斉送信を行い、テンプレートを自動生成してそれぞれのターゲットに合わせてカスタマイズできます。数千、数万件のフィッシングメールを短時間で作成・送信でき、詐欺の規模と速度は企業や個人にとって大きな脅威となっています。
生成AI詐欺への対策
個人ができる対策
1. 電話での確認を徹底する
お金の話が出るなど「あやしい」と感じた場合は、一度電話を切り、本人の番号にかけ直して確認することが重要です。声だけで本人と判断するのは危険です。家族や友人との間で、緊急時の合言葉を決めておくことも有効です。
2. ビデオ通話でも油断しない
ビデオ会議であっても、特に金銭に関わる依頼には慎重に対応しましょう。別の連絡手段で本人確認を行うか、対面や電話で再確認する習慣をつけることが大切です。
3. メールやメッセージの真偽を確認する
リンクをクリックする前に、送信者のメールアドレスを注意深く確認しましょう。公式サイトから直接ログインするか、公式の問い合わせ先に確認することが安全です。文法的に完璧でも、内容に緊急性や不安を煽る要素があれば疑ってかかるべきです。
4. 個人情報の公開を最小限にする
SNSでの個人情報や音声・動画の投稿は最小限に抑えましょう。詐欺師はこれらの情報を使ってAIに学習させ、なりすましに利用します。
5. セキュリティソフトや迷惑電話対策アプリの導入
迷惑電話対策アプリは、トビラシステムズなどの迷惑情報データベースをもとに、迷惑電話を自動で検知し警告や拒否を行います。メールセキュリティソフトも最新のものに更新し、フィッシング対策機能を有効にしましょう。
企業ができる対策
1. 従業員教育の徹底
生成AI詐欺に対する教育とトレーニングを徹底し、従業員が最新の詐欺手口を常にアップデートして学ぶことが重要です。定期的にセキュリティ研修を実施し、フィッシングメールの模擬訓練なども効果的です。
2. 多要素認証と承認プロセスの強化
大きな金額の送金には複数人の承認を必須とし、電話やビデオ会議だけでなく、別の方法での本人確認を義務付けるルールを設けましょう。多要素認証を導入し、単一の認証方法に依存しないシステムを構築します。
3. AI技術を使った防御
メッセージの意図を察知する意味解析技術など、AI技術を使った脅威検知エンジンを導入しましょう。文法的に完璧なメールであっても、その意図や文脈から詐欺を見抜くことが可能になります。
4. 情報漏洩対策
生成AIへの入力データから個人情報が検知された場合はその場でデータを削除するといったチェック機能を導入します。社内で生成AIを使用する際のガイドラインを策定し、機密情報の入力を禁止するなどのルールを明確にしましょう。
5. インシデント対応体制の整備
万が一被害に遭った場合に備え、速やかに対応できる体制を整えておくことが重要です。被害を最小限に抑えるための初動対応マニュアルを作成し、定期的に訓練を行いましょう。
おわりに
生成AI技術は今後もさらに進化し、私たちの生活に深く浸透していくでしょう。それと同時に、この技術を悪用した詐欺もますます巧妙化していくことが予想されます。
重要なのは、生成AIのリスクを正しく理解し、適切な対策を講じることです。「声が聞こえたから本人だ」「ビデオで顔を見たから安心だ」という従来の常識は、もはや通用しない時代になりつつあります。
個人も企業も、常に最新の詐欺手口に関する情報をアップデートし、疑わしい連絡には慎重に対応する習慣を身につけることが、被害を防ぐ第一歩です。便利な技術を安全に活用するために、一人ひとりがセキュリティ意識を高めていきましょう。
