AIを使ったハッカー

AIは便利ですよね。もうすでにAIにメールを代筆してもらったり、長い文章を要約してもらったりしている人も多いと思いますが、ハッカーも同じようにAIを悪用して仕事をはかどらせています。AIの登場により従来の攻撃の精度や効率が劇的に向上し、これまでのセキュリティ対策では防げないという脅威が生まれています。今回はAIを使ったハッカーの影響について考えてみました。

2026年のトレンド

ワールド・エコノミック・フォーラムが発表した、100人以上のCEOやセキュリティー担当者を対象とした調査結果によると、AIがサイバーセキュリティの最大の脅威になったとほとんどの回答者が答えています。そして、AI関連の脆弱性はランサムウェアやフィッシングといった従来の攻撃をしのぐリスクになりつつあると87％が回答しています。2025年の最大のリスクはランサムウェアでしたが、今年はすでにAIが追い越しました。AIはソフトウェアの脆弱性を従来より早く検知する一方で、うまく使わないとデータの漏洩など思わぬ事故につながる可能性も指摘されており、64％が自社で使うAIツール自体のセキュリティをチェックしていると答えています。しかしこれは36％がチェックをしていないということで、AIのリスクはまだ十分に理解されていないのかもしれません。

脆弱性の発見

ソフトウェアは人がコードを書いて作るものなので不具合はどうしても発生します。IT企業で長年働いてきた者として、バグがゼロになることはないと断言できます。ゼロデイ脆弱性という言葉がよく使われますが、これは開発元による修正が行われていないの野放し状態の脆弱性のことで、ハッカーはここをついて攻撃してくるわけです。脆弱性を見つける自動テストツールはあるとはいえ、あくまで人によるテストの補助でした。AIの登場によって、セキュリティテストの効率があがり発見までの時間を短縮することが期待されます。

Claude Mythos

Anthropic社のClaud MythosというAIモデルは特にサイバーセキュリティの分野ですぐれていると言われています。ゼロデイ脆弱性も簡単に見つけられるし、見つけた脆弱性を利用してどんな攻撃ができるか構築することも可能だそうです。イギリスのAISI(AI Security Institute)によるとMythosは、企業ネットワークの32段階攻撃シミュレーションを突破した最初のAIだそうです。もうこうなると普通の人間では太刀打ちできないですね。AI対AIの戦いになるのでしょうか。スパイ映画じゃないですが、Mythosが悪用されたらどうなってしまうんでしょうね。

AIによるサイバー犯罪

アメリカでは2025年にAIによる詐欺で900万ドルが被害にあったそうです。AIで作ったフェイクのビデオや声がロマンス詐欺やオレオレ詐欺に使われるのは普通になってきました。それ以外にも、例えば詐欺メール。以前のハッカーが書いた詐欺メールはどことなく文法がおかしかったりミススペルがあったりして、よく見ればおかしいと気づけるものが多かったと思います。AIは文法もスペルもほぼ間違えないし、特定の人物の書き方のくせを真似ることもできます。そしてAIはいとも簡単に企業や銀行などの公式サイトを模倣できるので、メールから模倣した偽サイトに誘導して信用させることもできます。ウェブだけでなくアプリも本物そっくりに作れるので要注意です。

AIを使った攻撃は自動化できるため、従来よりも大規模で迅速に行われる可能性があり、大企業や国家もターゲットになりえます。AIによる攻撃は高度で検出が難しく、企業とっても大きなリスクとなっています。AIが生成した精巧なフィッシングメールはハッカー手製のものより４倍のクリック成功率という説もあります。マルウェアも進化するでしょうし、サイバー詐欺の被害に遭わないでいることはますます大変になっていくでしょう。

私たちにできること

現時点ではこれまでと同じように常に警戒をおこたらないようにするしかありません。とにかくあやしいリンクはクリックしない、知らない番号からの通話はでない、情報は渡さない。もし警察や銀行だと言って電話がかかってきたら、こちらから折り返すと言いましょう。AIボイスクローニングを使って身内のふりをした詐欺師からかかってきた場合も、いったん切って、折り返し電話を本当の身内にして確かめるのが一番です。