2025年に入ってからインターネット証券口座の乗っ取りによる不正決済が国内で急増している。金融庁の発表によると、 不正売買で約5240億円もの被害が発生し、そのうちの95%が4月と5月に集中しているという急増ぶりだ。
クレジットカードの不正利用やインターネットバンキングの不正決済の被害額とは桁が違う被害が発生している。この一連の不正アクセス被害を含め、サイバー犯罪の世界で問題になっているのがAIの暗躍だ。
ChatGPTの登場で注目が集まった生成AIには、多くのユーザーが可能性を感じているはずだ。しかし、インターネット自体がそうであったように、我々にとって無限の可能性やメリットを秘める技術は、同時に犯罪者にとっても大きな可能性やメリットをもたらす。AIも当然のごとく例外ではない。では、AIによってこれからのサイバーリスクはどのように変わるのだろうか。
AIが変えるサイバー攻撃の「精度」
代表的なサイバー犯罪手口の1つに、フィッシングメールのような「なりすましメール」がある。前述のインターネット証券口座の事例のように、特定のインターネットサービスの偽物サイトに誘導してID・パスワードを盗み出したり、文書ファイルに見せかけたマルウェアに感染させるためにサイバー犯罪者が活用するものだ。
これまでのなりすましメールは、年々巧妙になったとはいえ、当該言語に存在しない文字や単語が使用されていたり文法や表現が不自然であったりなどと、疑いの目を向けることができる要素が存在した。だからこそ「疑わしいメールは開かないように」という注意喚起は一定レベルの効果があった。
しかし、要点整理や報告書の作成に生成AIが活用されているように、自然な言語で体系的に文章を作成できるのが生成AIのメリットの1つだ。生成AIにより、文法的にも表現的にも違和感のない文章を書き上げるだけでなく、表現を模倣したり相手の関心事にフィットした内容のメールを作ることも可能にしてしまうのが生成AIだ。多言語での文章作成が実現可能なことで、従来の言語障壁も取り除かれてしまうのだ。
インターネット証券口座の被害でも、フィッシングメールやフィッシングサイトの精度向上にAIが寄与している。また、パロアルトネットワークスが企業のセキュリティインシデント対応を支援した世界各地の事案を見ると、2023年までの数年はVPN装置の脆弱性のようにセキュリティ上の欠陥がありながらインターネットに露出しているデジタル資産が原因の1位だったが、2024年にはフィッシングメールが1位に返り咲いている。ここでも生成AIの影響が見てとれる。
また、SNSの世界では画像や動画を生成AIで作成して楽しむサービスの流行が伺い知れるが、サイバー犯罪の世界でも「ディープフェイク」と呼ばれる偽の音声や動画を悪用した犯罪が問題になってきた。すでに経営者などの実在する人物のディープフェイクによって、億単位の金銭が企業から騙し取られる被害なども出ている。
