3月12日にIPAから『情報セキュリティ10大脅威 2026 解説書(組織編)』が公表されました。
私は各脅威で挙げられている事例を特に読んでいます。実際にどのような被害が起きているのかを知ると、より具体的に理解できますし、サイバー攻撃がどれぐらい身近に迫っているのかを感じることができます。
これまではサイトにアクセスしたら自由に閲覧できたのですが、今回からアンケートに回答してからダウンロードする方式になりました。アンケートを取る以外にダウンロード数を把握するための取り組みでしょう。
AI関連が3位に初選出
今回の注目は3位に選出された「AIの利用をめぐるサイバーリスク」でしょう。
これまでは将来的なリスクとされていたAIの悪用が、2025年を経て現実の脅威として完全に定着したことがこの順位に表れています。
ChatGPTをはじめとする生成AIのセキュリティリスクといえば、入力した機密情報が再学習されて情報漏えいする場合や、生成AIが間違った情報を回答してしまうハルシネーション、不正プログラムの作成や違法行為の方法を生成AIが回答していまうといった事例が挙げられます。
画像認識などの識別系AIでは敵対的サンプル攻撃(Adversarial Example Attack)というものもあります。人間には判別できない程の微細なノイズを加えることでAIに誤認させる攻撃です。自動運転の分野では「止まれ」の標識を「時速40kmで進め」に誤認させることができるため、この問題を解決する必要があります。
10位のビジネスメール詐欺にも注目
ランクは10位と低いものの、ビジネスメール詐欺はこれからさらに増えると思います。
本書の事例にもある、社長・役員を装う「LINE グループ作成依頼」メールによる詐欺が、2025年12月以降に問題になっています。
流れとしては、社長や役員を名乗る者から業務と称して、企業の監視の目が届きにくいLINEでグループを作成する指示のメールが社員宛に届き、作成すると事業に必要な経費として送金するためのQRコードが送られてくるというもの。
似たような詐欺メールは過去にも多数ありましたが、いずれも日本語が不自然で見破ることが容易でした。しかし、生成AIを使用して自然な日本語で送られてくるため騙される人も多いようです。
社長や役員はコーポレートサイトなどで公開されている情報のため、メールアドレスに使用されているドメインから組織がわかれば、なりすますことは容易です。
Emotetが関係している可能性
問題は標的となっているメールアドレスです。私は有効なメールアドレスのリストが使用されていると考え、過去に猛威をふるったEmotetが関係している可能性を提示します。
Emotetは関係者になりすましてマルウェア付きのメールを送信し、感染するとPCに保存されたアドレス帳データが窃取され、窃取したメールアドレスを使ってさらに送信を行い拡大していく手口です。
もしEmotetで収集したメールアドレスが使われているのであれば、社長や役員だけでなく外部の関係機関を装って詐欺メールを送るよう発展していくのではないかと推測します。
次なる脅威: ディープフェイクと音声合成によるなりすまし
生成AIとビジネスメール詐欺を取り上げましたが、これらの合せ技として他人の映像や音声を生成AIで作り出して詐欺に使用される機会が増えるのではないかと予想しています。
映像については既にディープフェイクが問題になっていますのでイメージしやすいかと思いますが、特に深刻なのは音声の方だと考えます。
電話を使った詐欺は振り込め詐欺を代表するように、生成AIが普及する以前から存在しました。逼迫した状況を作り出すことで本人確認をする冷静さを無くすことが犯人の戦術ですが、これに生成AIが加われば脅威が加速します。
そのためには顔や声のサンプルが必要です。企業の社長は顔写真やインタビュー動画なども公開されていることが多いので、社長になりすまして企業に対して攻撃を行うケースが考えられます。上記のビジネスメール詐欺を発展させて、ビデオ通話で騙す手口も考えられます。
最近不審な着信電話が多いですが、私は音声サンプルの収集が目的ではないかとも疑っています。「○○です」と名乗ると、それだけで名前と声の情報がセットで収集できてしまいます。
音声の情報は個人だけでなく、金融機関の担当者の名前と声も入手できれば、企業や個人の銀行口座を狙うケースで使用されるでしょう。
こういった手口が考えられますし、既に被害が出ているかもしれません。ますます個人情報保護の重要性が高くなりますし、保護しなければならない範囲がかなり増えていくことでしょう。
コメント