生成AIで加速するフィッシングとBEC：金融機関が見直すべき防御設計

生成AIが変えるのは「新手」よりも攻撃の実行速度

生成AIは業務効率化の一方で、攻撃準備から実行、改善までを短時間で回せます。結果として、従来の攻撃が安価に大量実行される局面が増えます。

特に金融領域は資産価値が高く、取引の即時性もあるため狙われやすい分野です。外部委託やSaaS利用の拡大も、攻撃面を広げる要因になります。

AIが生む脅威の本質は「既存手口のスケール化」です。文面や会話の個別最適が進み、人的要因を突く成功率が上がりやすくなります。

金融業務で現実味を増す「AI支援型」攻撃のパターン

報道で注目された動きが示すのは、攻撃者が文章作成や調査、手順化をAIで補助できる点です。標的型メールや模倣サイトの作成が、より手軽になります。

ビジネスメール詐欺（BEC）では、役員や取引先の文体を模倣した送金依頼が作られます。メールやチャット承認に依存する現場ほど、確認省略が狙われます。

本人確認では、音声合成と組み合わせたなりすましが課題になります。知識情報に依存した認証は漏えいを前提に弱くなり、再設計が求められます。

さらに攻撃者は公開情報から技術スタックを推定し、侵入経路を組み立てます。ゼロデイよりも設定不備、過剰権限、古いVPN機器などが狙われがちです。

試行回数が増える時代に、業務と統制をどう更新するか

AIにより攻撃者はA/Bテストのように文面や誘導を改善できます。検知回避も反復的に最適化され、SOCや運用側の負荷が高まりやすくなります。

対策は技術だけで完結しません。送金・口座変更など高リスク業務は、別経路確認や強制チェックを業務標準として組み込むことが重要です。

認証は「MFAの有無」ではなく質が問われます。フィッシング耐性の高い方式を優先適用し、特権IDや送金権限ユーザーから順に強化します。

横展開を防ぐには最小権限と特権アクセス管理が要です。ログの一元化と改ざん耐性、AI利用ポリシーと監査をセットで整備します。

まとめ

ネットワークベンダーとして、PSIでは、生成AI時代の防御は多層防御とゼロトラストの徹底が要だと考えます。単点の対策より、前提を疑う設計が重要です。

また、業務プロセスそのものを攻撃対象として捉え、承認や本人確認にセグメンテーションと検証手順を組み込みます。人の判断を補う統制が効果を左右します。

最後に、委託先やSaaSを含む全体最適で監視とログを整え、演習で初動の時間軸を短縮します。継続的な見直しが、攻撃の高速化に対抗します。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp