詐欺メールにAI悪用、手口がさらに巧妙化

AIの悪い使い方、巧妙な手口に騙されないで…。

日々賢くなるAI、有益に使えば生活を豊かにしてくれる一方で、AIを悪用した詐欺が急拡大しています。低コストで巧妙化している手口にとうとうFBI（アメリカ連邦捜査局）まで警告を発しています。手口が巧妙になっているGmail詐欺にセキュリティ専門家も警鐘を鳴らしています。

テック企業から電話がかかってくることはない

手口は次のような流れで進みます。

セキュリティ企業Malwarebytesは、その手口を発表しています…

1. 詐欺師がGoogleを装った電話をかけてくる

・発信者IDにはGoogleの公式番号のように表示される

・「あなたのGmailアカウントがハッキングされた可能性がある」と警告

2. 本物そっくりのメールが届く

・Googleからの正式な通知に見える

・ ユーザーを騙し、偽のアカウント復旧手続きへ誘導

3. Gmailのアカウント回復コードを要求

・「アカウントを復旧するために必要」としてコードを入力させる

・実際には、攻撃者がアカウントを完全に掌握するための手口

最終的に詐欺師が求めているのは、アカウントをリセットさせアカウントを乗っ取ることです。あらゆるサービスでGoogle（グーグル）のアカウントを活用して、ログインができるようになってる場合にGoogleアカウントが乗っ取られてしまうと、連携しているそれらのサービスも含めて一気に乗っ取られてしまいます。

たとえばGoogleと連携している銀行口座、クラウドサービス、SNSアカウントなどにも簡単にアクセスできるようになってしまうので、一気に被害が拡大してしまいます。

こうした詐欺から身を守るためにできる5つの対策

セキュリティの専門家のデイブ・ハッター氏（Dave Hatter）は、詐欺から身を守るための対策として…

1. GoogleやMicrosoft（マイクロソフト）の名を騙る電話がかかってきたら即座に切る

2. Googleアカウントのプライバシー設定で、アクティビティ履歴を定期的に確認し、不審な操作がないかチェックする

3. 電話やメールで個人情報を求められても絶対に答えない

4. 予期しないリンクをクリックした後にパスワードを入力しない

5. 「至急対応が必要」といった緊急性を煽るメッセージには疑いを持つ

と語っています。

どこでAIが使われている？

AIを活用した手口で特徴的なのは、Googleなどテック企業を名乗る企業からの電話にあります。これまでの詐欺の多い特徴公式サイトを装ったメールを開封させ、偽のURLへアクセスさせた上で個人情報を盗み出すフィッシング詐欺でした。フィッシング詐欺自体は当然警戒されていることから、AIを活用した詐欺の手口が広がっていると考えられます。

詐欺師は、生成AIによる合成音声で人間そっくりの受け答えをさせます。その場で公式からの連絡かどうかを確認する隙を与えず、すかさず偽のメールを送信しアクセスさせます。この偽メール生成、電話において恐らく生成AIが使用されていると考えられています。

生成AIによる詐欺事件は、AIを利用した詐欺の主流は動画やメールでした。しかし、最新の攻撃では電話とメールを組み合わせた詐欺が増えてきています。

これまでは…

有名人を装った偽のキャンペーン：AIで作成された有名人のディープフェイク動画を使用し、偽のキャンペーンを宣伝する手口があります。たとえば、テイラー・スウィフトがル・クルーゼとコラボしたと偽り、調理器具を無料で配布すると称する詐欺が報告されています。

CEO になりすまし：出張中のCEOになりすましてメッセージで従業員を会議に招待。従業員はウェブカメラに映るCEOらしき姿を見ましたが、実はディープフェイク技術で作った動画で、背景も偽装されていました。

今回の事例ではテック企業をかたる電話がかかってくる手口ですが、AI音声であれば銀行や警察のなりすましも可能であり、実際にそれらを名乗る詐欺も発生しています。被害を防ぐには、怪しい電話やメールには一切応じず、サービスの公式サイトで直接情報を確認することが最も大切です。AIのロクでもない使われ方が広がっている今、自身で気をつけるしか防ぐ手立てはなさそうです。

Source: WIRED, CAPITOL Technology University, トレンドマイクロ, Daily mail online, KEPR, Mirror, FBI