生成AI悪用フィッシングが急増、自然な日本語で従来の見分け方が通用せず

導入

生成AIの普及に伴い、これまで「不自然な日本語」や「誤字脱字」で見分けることができたフィッシングメールが、極めて自然で説得力のある文章に進化しています。ChatGPTやClaude等の大規模言語モデルを悪用した攻撃者は、企業の業界用語や社内の慣用表現まで正確に再現し、受信者が疑いを持つことなくリンクをクリックしてしまう巧妙な詐欺メールを大量生成しています。従来のユーザー教育の前提が崩れる中、新たな防御戦略の構築が急務となっています。

詳細な説明

攻撃者は標的企業のWebサイト、SNS投稿、求人情報、プレスリリースなどから組織構造、使用技術、業界特有の用語を収集し、これらをプロンプトとして生成AIに入力します。その結果、「経理部の田中です。月次決算の件でクラウドストレージの共有設定を確認していただけますでしょうか」といった、実際の社内メールと見分けがつかない文章が自動生成されます。さらに悪質なケースでは、過去の情報漏えい事件で流出したメールデータを学習させ、特定企業の「メール文化」まで模倣する手法も確認されています。件名、署名、緊急度の表現まで完璧に再現されるため、URLドメインの確認や送信元の検証を怠ると、容易に騙されてしまいます。

影響と対策

高度に偽装されたフィッシングメールにより、クラウドサービスの認証情報が窃取され、メール、ファイル共有、業務アプリケーション全体への不正アクセスが発生します。対策として、まず「メール本文の自然さ」を信頼の指標としない意識改革が必要です。技術面では、DMARC/SPF/DKIMによる送信ドメイン認証の厳格化、リンクをサンドボックス環境で事前検証するURLフィルタリング、メール内リンクを安全な環境で開くリモートブラウザ分離（RBI）の導入が有効です。また、「緊急」「至急」を装う依頼については、メール以外の手段（電話、チャット、対面）での確認を必須とするルールの徹底が重要です。ユーザー教育では、文章の巧妙さではなく、「送信者の確認」「URLドメインの検証」「別手段での確認」という手順の習慣化に重点を置くべきです。

まとめ

生成AIの進歩により、フィッシング攻撃は「見抜く」から「検証する」時代へと変化しました。どれほど自然で説得力のあるメールでも、送信者とリンク先の真正性を技術的・手続き的に検証する多層防御が、新時代のフィッシング対策の基盤となります。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp