テクノロジー2026/6/20 7:00:00

[ITmedia エンタープライズ] Microsoftが警告「最新サイバー脅威」の手口と対応策

ニュース概要

多要素認証（MFA）をAIで突破するデバイスコード・フィッシングやChatGPT、Claude、DeepSeekなどの有名AIサービスをおとりにする偽装手口が急増している。AI時代の最先端フィッシング攻撃の実態と防御のポイントを紹介する。

解説

最近、私たちのデジタルな生活を脅かすサイバー攻撃の手口が、AI（人工知能）の進化とともに巧妙化しているとマイクロソフトが警告しています。

これまで、オンラインサービスの安全を守るために「多要素認証（MFA）」という仕組みが広く使われてきました。これは、パスワードだけでなく、スマートフォンに送られるコードなど、複数の方法で本人確認を行うことで、たとえパスワードが漏れても不正ログインを防ぐためのものです。しかし、最新のサイバー攻撃では、この多要素認証をもAIの力を借りて突破しようとする「デバイスコード・フィッシング」という手口が増えているといいます。

デバイスコード・フィッシングとは、簡単に言うと、私たちをだまして、攻撃者が作った偽の認証画面で、正規のサービスにログインするためのコードを入力させてしまう手口です。AIを使うことで、このような偽の画面や、私たちを誘導するメール、メッセージがより本物そっくりに作られるため、見破るのが非常に難しくなっています。

さらに、もう一つの大きな脅威は、ChatGPTやClaude、DeepSeekといった人気のAIサービスを悪用する手口です。これらのAIサービスは、文章作成や情報検索など、私たちの仕事や学習に役立つツールとして急速に普及しました。しかし、サイバー犯罪者たちは、これらの有名AIサービスを装った偽のサイトやアプリを作り、私たちを誘い込むことで、個人情報や認証情報を盗もうとしています。例えば、「無料のAIツールが使える！」といった魅力的な言葉で誘い、偽の登録ページに誘導するといった具合です。

なぜ、このようなAIを使った攻撃が増えているのでしょうか。それは、AIが私たちのデジタルな行動パターンや、より自然な文章、画像を作り出す能力を持っているからです。これにより、これまで人間が見破りやすかった不自然なメールや偽サイトが、AIによって「本物そっくり」に磨き上げられ、私たちをだます確率が格段に上がってしまっているのです。

私たちにできる対策としては、まず、メールやメッセージで送られてくるリンクは安易にクリックしないこと。そして、ログインする際は、必ず公式サイトのアドレス（URL）が正しいかを確認する習慣をつけることが大切です。また、多要素認証を設定している場合でも、なぜその認証が求められているのか、不審な点はないかを常に確認する意識が求められます。AIの進化は便利さをもたらしますが、同時に新たな脅威も生み出していることを理解し、賢く対処していく必要があります。

今後の予測

今後のサイバー攻撃は、AIの進化と密接に結びつき、さらに巧妙化すると考えられます。

**シナリオ1：AIによるパーソナライズ化された攻撃の常態化** 攻撃者はAIを活用し、個人の興味や行動履歴に基づいた、よりパーソナルで説得力のあるフィッシングメールや偽サイトを作成するようになるでしょう。これにより、一般的な注意喚起だけでは防御が難しくなり、個々人のデジタルリテラシーの向上がこれまで以上に重要になります。企業やサービス提供者は、AIを活用した異常検知システムや、より高度な認証技術の導入が急務となるでしょう。

**シナリオ2：AI対AIのセキュリティ競争の激化** 攻撃側がAIを駆使する一方で、防御側もAIを活用したセキュリティ対策が進化すると予測されます。不審な行動パターンをAIが自動で検知したり、AIが生成した偽のコンテンツをAIが識別したりする技術が発展し、AI同士の攻防が日常化する可能性があります。これにより、セキュリティ対策のコストは上昇するものの、全体的な防御力は向上するかもしれません。

**シナリオ3：法規制と国際協力の加速** AIが悪用される事例の増加に伴い、各国政府はAIの悪用を防ぐための法規制の整備や、国際的な協力体制の構築を加速させるでしょう。AI開発企業には、責任あるAIの開発と、悪用防止のための技術的対策が義務付けられる可能性もあります。これにより、サイバー攻撃の発生源を特定し、対処する枠組みが強化されることが期待されます。