夜、仕事を終えてスマホを眺めていると、見慣れた取引先の名前で「至急」メールが届く。
リンクを開くと、いつもと同じロゴ、同じ言い回し。
焦りのままパスワードを入れそうになって、ふと手が止まる。
「これ、本当に相手から来たのかな?」
そんな小さな違和感が、これからの時代の”命綱”になるかもしれません。
Googleは近年、国家が支援するハッカー(国家支援型攻撃者)が、生成AIを攻撃のさまざまな段階で使い始めていると報告しています。
しかも、標的は企業のサーバーだけではなく、そこで働く「人」へと近づいているのです。
そもそも何が起きているのか:Googleが見た「AI×国家支援ハッカー」の現実
Googleの脅威インテリジェンス部門(GTIG)は、ロシア・北朝鮮・イラン・中国などに関連する攻撃者が、Googleの生成AI(Gemini)を含むAIツールを”攻撃の支援役”として使っていると述べています。
用途は、標的の下調べ(リコン)から、フィッシング文面作成、マルウェア開発の補助、さらには侵入後の作業の効率化まで幅広い、という指摘です。
ここで大事なのは「AIが全部自動でハッキングする世界が、もう完成した」という話ではない点です。
Google側の見立てでは、現時点では”完全自動化”よりも、人間の手作業を速く・巧妙にする方向でAIが効いている、というニュアンスが強い。
つまり、攻撃者は”魔法の杖”としてではなく、”よく切れる包丁”としてAIを使い始めているわけです。
AIが攻撃を変えるポイント:「下調べ」「言葉」「なりすまし」が一気に強くなる
生成AIが攻撃者にとって便利なのは、ざっくり言うと次の3つです。
まず第一に、下調べ(リコン)が速いこと。
相手を知るほど、騙しやすくなります。
リコン(Reconnaissance)は、攻撃前の情報収集です。
組織図、担当者の役割、最近のニュース、採用情報、使っていそうなツール。
これらを集めて”刺さる”接触方法を作ります。
AIはこの作業を短時間で要約し、攻撃シナリオの材料を整えます。
第二に「言葉」が上手すぎること。
フィッシングは、偽のメールやサイトでID・パスワードを盗む手口です。
昔は不自然な日本語がヒントになりましたが、AIが入ると、文体や敬語が整い「それっぽさ」が跳ね上がります。
そして第三に、なりすましがリアルになること。
Googleは防衛産業(Defense Industrial Base)への脅威として、採用プロセスや個人メール、個人デバイスなど”企業の外側”にいる個人を狙う動きを強調しています。
会社の堅い門を正面から叩くより、横の小さな扉から入ったほうが早い。
そんな発想です。
「AIを使った攻撃」はどんな形で起きるのか:イメージしやすい具体例
実際に報じられた例として、北朝鮮系とされるグループが、暗号資産(クリプト)分野を狙い、偽のZoom会議やディープフェイクを絡めたソーシャルエンジニアリングを行ったという話が出ています。
相手に「トラブル対応」を装って、悪性プログラム実行に誘導する、という筋書きです。
この手口が怖いのは、技術だけでなく、人の心理を踏むところです。
「会議に遅れる」焦り
「相手に迷惑をかけたくない」遠慮
「言われた手順どおりに直せばいい」安心感。
そこに、AIが作る”それらしい説明”や”もっともらしい人物像”が重なると、罠は見えにくくなります。
まるで、偽物の鍵が本物の鍵穴にぴたりとはまるように。
Googleのレポートで見えてきた「次の段階」:マルウェアが自分で姿を変える
さらに踏み込んだ話として、GTIGは2025年の観測で、Gemini APIを使って自分のコードを書き換え、見つかりにくくする実験的マルウェア(HONESTCUE)の存在にも触れています。
これは「AIが攻撃の文章を作る」より一段先で、攻撃ツール自身が”状況に合わせて衣装替えする”方向性です。
もちろん、こうした高度な例は「今すぐ大流行」というより、未来の予告編に近い。
それでも予告編は、次に来る映画の雰囲気を教えてくれます。
私たちは、予告編のうちに座席を選び、避難口を確認しておくべきです。
なぜ「防衛・サプライチェーン・採用」が狙われるのか
GTIGの分析では、防衛産業への脅威が「戦場の外」へ広がっていることが語られています。
特に目立つのが、従業員や採用プロセスを狙う動き(求人ポータルのなりすまし、個人メールへの接触など)、サプライチェーン(取引先の連なり)の弱点を突く手法、そして境界機器(エッジデバイス)などを入口にする例が増えているという点です。
ここにAIの”下調べ力”と”文章力”が合わさると、攻撃は「技術の勝負」から「生活導線の勝負」へ移っていきます。
そしてGuardianも、ミュンヘン安全保障会議を前にしたGoogleの報告として、企業ネットワークの外側にいる個人や、サプライチェーンが狙われやすいという流れを伝えています。
初心者でもできる実践策:AI時代の「だまされにくい習慣」を作る
ここからは、難しいセキュリティ製品の話より先に、今日からできる”習慣の筋トレ”です。
まず、連絡は「別ルートで確認」すること。
1本の糸で判断しないでください。
メールで請求書変更が来たら、電話やチャットで確認。
会議中にアプリ導入を促されたら、いったん切って社内ITに相談。
攻撃者が握っている連絡経路は、1本だけのことが多いので、別ルート確認が強い防波堤になります。
次に「急がせる」「秘密にさせる」は赤信号だと覚えておきましょう。
AIで文章が上手くなっても、詐欺の骨格はだいたい同じです。
「今すぐ」
「ここだけの話」
「上司には内緒」
この3点セットが出たら、呼吸を一段深く。
判断を遅らせることが、防御になります。
そして、多要素認証(MFA)を”全アカウント”に設定すること。
パスワードが漏れても、追加の確認(アプリの承認、物理キーなど)があれば突破されにくい。
特にメール、クラウド、SNS、業務チャットは優先度が高いです。
最後に、仕事と私物を分けることです。
GTIGが指摘するように、個人メールや個人デバイスを狙う流れが強まるなら、仕事のログインを私物に残さない、端末管理を整理する、という基本が効きます。
まとめ:AIは「攻撃の自動化」より「騙す技術の底上げ」を先に広げる
Googleの報告から読み取れるのは、国家支援型攻撃者がAIを使っているという事実以上に、攻撃の重心が”人の心と生活導線”へ近づいているという変化です。
AI時代のセキュリティは、分厚い城壁だけでは守りきれません。
むしろ「違和感に気づく」「別ルートで確かめる」「急がない」という、小さな習慣が、あなたの毎日を守る鍵になります。
最後に、覚えておきたい一言を置いて締めくくります。
“巧妙さ”に勝つコツは、こちらが「丁寧さ」を手放さないこと。
一呼吸おいて、確かめる。
その丁寧さが、未来のあなたを助けます。
参考:Google identifies state-sponsored hackers using AI in attacks
コメント