投稿者 global-ai-media 
生成AIの進化は業務効率化をもたらす一方で、サイバー攻撃の手法にも劇的な変化を引き起こしています。Microsoft社が報告した「AIを活用したデバイスコードフィッシング」の事例をもとに、日本の商習慣に潜むリスクと、AI時代に求められるセキュリティ・ガバナンスのあり方を解説します。
生成AIによって高度化するフィッシング攻撃の脅威
近年、大規模言語モデル(LLM)をはじめとする生成AIの発展により、私たちの業務効率は飛躍的に向上しています。しかし同時に、この強力なテクノロジーはサイバー攻撃者にとっても極めて有用なツールとなっています。Microsoft社のセキュリティブログで報告された「AIを活用したデバイスコードフィッシング」のキャンペーンは、その実態を如実に示しています。
この攻撃の最大の特徴は、生成AIを用いて被害者の役職や業務内容に最適化された「超個別化(Hyper-personalized)」されたおとりメールを作成している点です。従来のフィッシングメールのような画一的な文面ではなく、例えば「RFP(提案依頼書:システムや業務委託の発注前にベンダーに提案を求める文書)」のやり取りを装うなど、ターゲットの日常業務に極めて自然に溶け込む文脈が捏造されています。
日本の商習慣に忍び寄る「超個別化」の罠
日本企業において、これまでフィッシングメールを見破る有効な手段の一つは「不自然な日本語の言い回し」や「見慣れない業務プロセス」に気づくことでした。しかし、生成AIが流暢な日本語を操り、さらにはターゲット企業の業界用語や日本の一般的な商習慣(見積書、請求書、稟議の催促など)を学習してメールを生成するようになれば、人間の目視だけで攻撃を見抜くことは極めて困難になります。
特に、日本の組織文化では「社外からの重要な依頼(RFPなど)には迅速かつ丁寧に対応しなければならない」という心理的プレッシャーが働きやすく、攻撃者はこうしたビジネスパーソンの心理的隙をAIによって巧みに突いてきます。業務効率化や新規事業創出のためにAIを積極的に導入する一方で、外部からの「AIによって最適化された脅威」に対しても警戒を強める必要があります。
デバイスコード認証の悪用と多要素認証(MFA)の限界
今回のキャンペーンで悪用された「デバイスコード認証」とは、スマートテレビや会議室のIoT機器など、キーボードなどの入力インターフェースを持たないデバイスからログインする際に、スマートフォンやPCなどの別の端末で短いコードを入力して認証を完了させる仕組みです。攻撃者は、巧みな文面のメールで被害者をフィッシングサイトに誘導し、攻撃者側が用意したデバイスコードを入力させることで、被害者のセッション(ログイン状態)を乗っ取ります。
日本企業でもリモートワークの普及に伴い、多要素認証(MFA)の導入が標準化しつつあります。しかし、このような高度なソーシャルエンジニアリング(人間の心理的な隙や行動のミスを突く手法)とAIを組み合わせた攻撃の前では、従来のMFAも万能ではありません。システムによる防御の限界を正しく認識し、攻撃手法の進化に合わせたセキュリティアーキテクチャの見直しが急務となっています。
日本企業のAI活用への示唆
生成AIを活用した高度なサイバー攻撃に対抗するため、日本企業は以下の観点で対策とガバナンス体制を再構築する必要があります。
第一に、「人間による検知への依存」からの脱却です。AIによって精巧に作られたフィッシングメールを従業員個人の注意深さで防ぐことには限界があります。従業員教育は引き続き重要ですが、それに加えて、FIDO2(指紋や顔認証などの生体情報やセキュリティキーを用いた、フィッシング耐性の高い認証規格)などの強固な認証基盤への移行を検討すべきです。
第二に、「ゼロトラスト」を前提としたシステム防御の高度化です。一度ログインを許した場合でも被害を最小限に食い止めるために、ネットワーク内部での不審な挙動をAIや機械学習を活用して検知する仕組みの導入が有効です。攻撃者がAIを使うのであれば、防御側もAIを活用してセキュリティ運用の自動化・高度化を図る必要があります。
第三に、社内横断的なAIガバナンス体制の構築です。テクノロジーの進化は速く、今日の安全な仕組みが明日も安全とは限りません。自社でAIを用いたプロダクト開発や業務効率化を進める推進部門と、情報システム・セキュリティ部門が密に連携することが求められます。最新の脅威動向を常にキャッチアップし、経営層を含めてリスクを正しく評価・対策できる組織文化を醸成していくことが、中長期的なAI活用の成功の鍵となります。