IT知識ゼロでもランサムウェアをつくれてしまう
秋山 個人レベルでできる対策は何でしょうか。
松原 企業人としてできることは、メールをうっかり開いてしまった後に、違和感があったら、会社のどの部署の誰に報告すればよいかを把握しておくこと。そして、必ず報告することです。
そして会社側は、報告した人を「なぜメールを開いたのか」と叱責してはいけません。叱責される様子を見ている周囲の同僚たちは、「報告しても、叱られるだけで良い結果につながらない」と認識し、隠蔽するようになってしまいかねないからです。報告を奨励し感謝する文化づくりと個人の意識向上が重要です。
個人レベルでも、流行っている手口を知っておけば被害の最小化につながります。
たとえば、最近では、宅配便業者からの不在通知を装った偽のショートメッセージ詐欺が横行しています。ショートメッセージに埋め込まれたリンクをクリックすると、ウイルスがインストールされるなどして、個人情報が盗まれてしまう恐れがあります。
秋山 リテラシーが重要ということですね。
松原 また、ウェブサイト閲覧中のパソコン画面に突然「ウイルスに感染しました。こちらの電話番号にすぐにお電話ください」と表示し、時には警報音を鳴らし、パニックに陥った人に電話をかけさせ、サポートサービス名目で金銭を巻き上げるサポート詐欺も、知識がないと引っかかる可能性が高い。大企業の社員や自治体の職員も被害に遭っています。個人は、高齢者ほど被害が多いです。
秋山 生成AIの進化は著しいですが、サイバー攻撃はどう変化していますか。
松原 生成AIを使ったサイバー攻撃が激増しています。米サイバーセキュリティ企業「センチネルワン」が2025年7月に出した統計によると、生成AIの向上に伴い、フィッシング攻撃が1,265%増加しました。従来はIT知識がないと攻撃できませんでしたが、今は誰でも生成AIを使って、攻撃プログラムを簡単につくれるのです。
正規の生成AIには、有害なコンテンツの生成や個人情報の漏洩、誤情報の拡散などを防止する制御システムが「ガードレール」として設けられています。そのガードレールを回避する質問を重ね、サイバー攻撃を可能にするプログラムを作成することもできます。
実際、川崎市の20代の男性が、ランサムウェアによる金儲けを思いつき、ガードレールが設けられていない「野良生成AI」をネット上で見つけて「ランサムウェアの作り方」を問いかけ、わずか6時間で作成した事例がありました。しかも、この男性はITの素養が全くなかったにもかかわらずです。生成AIによって、サイバー攻撃への参入障壁が劇的に低下しました。
NTTでは標的型攻撃メール訓練を全社員向けに年数回実施しています。以前は、人手をかけてメールの文面を作っていました。最近、生成AIを使って作成し始めたところ、作成時間が大幅に短縮され、しかもクリック率が激増したそうです。
秋山 つまりユーザーがだまされやすい、「高品質」の攻撃メールを生成AIで作れたということですね(笑)。
松原 生成AIを使ったサイバー攻撃は本当に侮れません。
