AIフィッシングとディープフェイクが2025年調査で企業の防御を上回る

AIフィッシングとディープフェイクが2025年調査で企業の防御を上回る

3,500人のビジネスリーダーを対象とした新たな調査は、企業のサイバーセキュリティに関する矛盾した実態を浮き彫りにしている。回答者の82%が現代の脅威に対して準備ができていると感じている一方で、音声クローニング、ディープフェイク画像、AIが生成するフィッシングを含むAI駆動型の攻撃は、それを阻止するために設計された組織よりも速いペースで進化している。認識上の準備状況と実際の脆弱性の間に存在するこのギャップこそが、攻撃者が利益を得る場所であり、個人がその被害を受けるケースも増加している。

一般ユーザーにとって、この調査結果は実践的な警告となっている。エンタープライズレベルの防御がAIフィッシングやディープフェイクを用いたソーシャルエンジニアリングに追いつくことに苦労しているとき、個人デバイス、家庭用ネットワーク、消費者向けメールアカウントを使用する個人は、はるかに少ない保護しか持たない状況で同じ脅威に直面している。

AIが生成するフィッシングと音声クローニングが日常ユーザーに与える影響

従来のフィッシングは明らかな手がかりに依存していた。文法的な誤り、不審な送信者アドレス、一般的な挨拶などがその例だ。AIが生成するフィッシングは、こうした手がかりのほとんどを排除する。大規模言語モデルを使用することで、攻撃者は今や高度にパーソナライズされたメッセージを作成できる。そのメッセージは、ターゲットの雇用主、最近の購入履歴、または公開されているアクティビティなど、実際の詳細情報を参照しており、これらはすべて自動的にスクレイピングされ組み合わされている。

音声クローニングはさらに別の層を加える。わずか数秒の音声データがあれば、市販のツールで誰かの声を家族、同僚、または金融機関を欺くほど説得力を持って複製できる。資金の送金を依頼する会社の幹部のように聞こえる偽の電話や、困っていると主張する家族の声を模倣した電話は、スパムフィルターやメールスキャナーでは検知できないソーシャルエンジニアリング能力を表している。

非常に説得力のあるビデオディープフェイクも同じ論理に従っている。これらはビデオ通話で権威ある人物になりすますために使用され、実際には起きていない出来事の証拠を偽造し、ターゲットを操作して資格情報を開示させたりアクセスを承認させたりする。これらの技術は総じて、日和見的なフィッシングから精密に狙いを定めた認証情報の収集へのシフトを表している。

従来のセキュリティツールがAI駆動型ソーシャルエンジニアリングを阻止するのに苦労する理由

ほとんどのエンタープライズセキュリティツールは、悪意のあるファイル、侵害されたURL、ネットワーク侵入という異なる脅威モデルを念頭に設計されている。AI駆動型のソーシャルエンジニアリングはこれら三つをすべて回避する。フラグを立てるべきマルウェアの添付ファイルもなく、ブロックすべき不審なドメインもなく、検知すべきネットワーク異常もない。攻撃は完全に人間の認識の中に存在している。

これが、セキュリティ予算が十分にある場合でも企業の防御が苦戦している核心的な理由だ。セキュリティ意識トレーニングは、AIが生成する攻撃が今や確実に回避する従来の警告サインを探すよう従業員に教えている。多要素認証などの技術的な制御は依然として価値があるものの、音声クローニングの通話中にターゲットが一回限りのコードを渡すよう欺かれると、それも回避される可能性がある。

「シャドーAI」という概念はこの問題をさらに複雑にする。企業環境内で無許可のAIツールを使用する従業員は、セキュリティチームが監視や封じ込めができないデータ漏洩リスクを生み出す。例えば、個人用AIアシスタントに入力された機密文書は、的を絞ったフィッシングをより説得力のあるものにするデータセットを意図せず構築する可能性がある。

AIがすでに個人のプロファイリングとターゲティングにどのように使用されているかを理解することが重要な出発点となる。AIによる監視：2026年に知っておくべきことガイドは、個人データの集約がこれらの攻撃を非常に効果的にする精密なターゲティングをどのように可能にするかについての重要な背景情報を提供している。

認証情報の盗難に対する防御においてVPNと暗号化が果たす役割

VPNと暗号化は、ディープフェイク動画の説得力を防ぐものではない。それらが行うのは、ターゲティングプロセスに利用される攻撃対象領域を縮小し、攻撃が部分的に成功した場合に認証情報を保護することだ。

認証情報を収集する攻撃は、多くの場合、受動的なデータ収集から始まる。公共または家庭用ネットワーク上の暗号化されていないトラフィックの傍受、保護されていない接続上のログインセッションの取得、またはターゲットが使用しているサービスを特定するためのブラウジング行動の監視などがその例だ。VPNはデバイスとより広いインターネット間のトラフィックを暗号化し、そのチェーンから最も簡単な傍受ポイントを排除する。

暗号化は保存データに対しても重要だ。強力な暗号化を備えたパスワードマネージャーは、フィッシング攻撃が一つの認証情報を取得した場合でも、使用するすべてのサービスへのアクセスに連鎖しないことを保証する。それをサポートするアカウントへの多要素認証と組み合わせることで、暗号化された認証情報の保存は攻撃が成功するためのコストを大幅に引き上げる。

企業システムに接続するリモートワーカーにとって、VPNの使用はさらに直接的に関連している。多くの認証情報収集キャンペーンは認証の瞬間を標的にしており、暗号化されたトンネルはその瞬間を接続の外部から監視することを大幅に困難にする。

プライバシーを意識するユーザーが今すぐ取れる実践的な対策

調査結果は、組織がトップダウンでこの問題を解決するのを待つことが信頼できる戦略ではないことを示唆している。個人が取れる具体的な手順を以下に示す。

自分に関して公開されているデータを調査する。 AIが生成するフィッシングは、ソーシャルメディアプロフィール、職業ディレクトリ、データブローカーデータベースなどの公開ソースを利用する。公開フットプリントを減らすことで、パーソナライズされた攻撃に利用される素材を制限できる。ソーシャルプラットフォームのプライバシー設定を見直し、主要なデータブローカーサイトにオプトアウトリクエストの提出を検討する。

あらゆるチャネルを通じた予期しない緊急性に対して懐疑的になる。 音声クローニングとディープフェイク攻撃は、ほぼ常に時間的プレッシャーを作り出す。今すぐ送金が必要な幹部や、すぐに助けが必要な家族などがその例だ。連絡を開始した番号やチャネルを信頼するのではなく、すでに保存している折り返し番号など、個人的な確認プロトコルを確立する。

公衆Wi-Fiだけでなく、すべてのネットワークでVPNを使用する。 リモートワークが一般的になったことで、家庭用ネットワークは企業システムへの信頼できる侵入口となり、ますます標的にされている。一貫してトラフィックを暗号化することで、ほとんどのユーザーが放置している傍受ベクターを塞ぐことができる。

利用可能な場合はフィッシング耐性のある認証を有効にする。 ハードウェアセキュリティキーとパスキーは、攻撃者がリアルタイムで中継できる値を生成しないため、従来のワンタイムコードよりもソーシャルエンジニアリングによって突破されるのが大幅に困難だ。

AIプロファイリングの仕組みについて常に情報を把握する。 デジタル行動がどのように集約・分析されるかを理解すればするほど、個人的かつ緊急に感じるよう設計されたものがアルゴリズムによって構築された可能性があることを認識するための準備が整う。AIによる監視ガイドは、その理解を深めるための実践的なリソースだ。

2025年の調査データは、サイバーセキュリティにおける信頼性のギャップが単なる企業の問題ではないことを改めて示している。AIフィッシングとディープフェイク攻撃が企業の防御よりも速く進化するとき、個人は、証拠が示すように対応に苦慮しているシステムの受動的な受益者ではなく、自らのセキュリティに積極的に参加する必要がある。説得力のある音声通話や完璧な文章のメッセージが自分の防御を試す前に、今すぐ個人の脅威への露出を調査することが、取れる最も効果的な行動だ。