この記事のポイント
- 2段階認証(2FA)は万能ではない: セッションクッキーを盗む「セッションハイジャック」により、2FAを設定していても突破される
- 偽ビデオ会議システムが急増: 知人になりすまし、本物と見分けがつかない偽Zoomに誘導する手口が横行
- ディープフェイク詐欺が高度化: 香港では会議参加者全員がディープフェイクという事件で37億円が詐取された
- インフォスティーラー被害が爆発的増加: 2024年だけで5,300万件以上の認証情報が漏洩
- 「人」が最後の防衛線: 技術的対策と従業員教育の両輪が不可欠
こんにちは、株式会社TIMEWELLの濱本です。今日は、私たちのデジタルライフに静かに、しかし確実に忍び寄る新たな脅威、AIを活用した最新の詐欺について、深く掘り下げてご紹介します。
「2段階認証(2FA)を設定しているから大丈夫」——そう考えている方も多いかもしれません。しかし、その安心はもはや過去のものとなりつつあります。本記事は、2025年から2026年にかけて急増している最新のAI詐欺事例と、その恐るべき手口を独自に調査・整理したものです。この記事が、皆様のセキュリティ意識をアップデートし、貴重な資産と情報を守る一助となれば幸いです。
【第1章】ソーシャルエンジニアリングとAIの融合:巧妙化する詐欺の入口
最近、私たちの周りで急速に増加しているのが、AI技術と伝統的なソーシャルエンジニアリングを組み合わせた、極めて巧妙な詐欺です。
2025年後半から、セキュリティ研究者や暗号通貨コミュニティの間で、ある深刻なパターンが報告され始めました。「2FAを設定していたにもかかわらず、アカウントを乗っ取られた」という被害報告が急増しているのです。被害者の多くは、ITリテラシーが高く、セキュリティ対策にも気を配っていた人々でした。
共通するパターン:
- 信頼できる知人からの連絡(実はアカウント乗っ取り済み)
- ZoomやMicrosoft Teamsでの「ちょっとした打ち合わせ」への誘導
- 一見正常に見えるビデオ会議システムへのアクセス
攻撃者は、まずターゲットの知人のアカウントを乗っ取り、その人物になりすまして接触してきます。ZoomやMicrosoft Teamsといった、ビジネスシーンで日常的に使われるツールでの会議を提案し、ごく自然な流れで罠へと誘導するのです。
偽ビデオ会議システムのトリック
攻撃の核心は、本物と見分けがつかない偽のビデオ会議システムにあります。送られてくる招待リンクは、一見すると正規のものと変わりません。
偽リンクの例: https://zoom(DOT)webus05.us/j/…
このURLのトリックは非常に微妙です。正規のZoomリンクであればus05web.zoom.usとなるべきところが、zoom.webus05.usのように、「ホスト名(zoom)」と「サブドメイン(webus05)」が入れ替わっています。信頼している相手からの連絡であれば、このわずかな違いに気づくのは困難です。
さらに悪質なのは、偽のアプリUI(ユーザーインターフェース)と、ビデオに映る「本人」の映像です。UIは本物を完全にコピーしており、ビデオにはディープフェイクではない、本物の録画映像が流されます。これは、その知人が詐欺に遭う直前に録画されたもので、違和感を抱かせません。
実際の攻撃事例:ELUSIVE COMETとBlueNoroff
このような手口は、特定の攻撃グループによって組織的に行われています。例えば、「ELUSIVE COMET」と呼ばれるグループは、メディア出演の機会を装ってターゲットに接近し、偽のZoom会議でリモートアクセス権を奪い、マルウェアを仕込む手口を使います。
実際の被害事例として、暗号通貨企業Emblem VaultのCEO、Jake Gallen氏のケースが報告されています。彼は、大規模なフォロワーを持つX(旧Twitter)アカウントからポッドキャスト出演の招待を受けました。そのアカウントには一貫した投稿履歴と動画があり、YouTubeチャンネルも存在していたため、正規のメディアだと信じてしまいました。しかし、インタビュー中に「goopdate」というマルウェアがダウンロードされ、10万ドル以上のデジタル資産が盗まれてしまったのです。
また、北朝鮮と関連するとされる「BlueNoroff」(別名:APT38、TA444)は、さらに高度な手法を用います。彼らは、ターゲット企業の幹部のディープフェイク映像を複数用意し、グループビデオ会議を演出。音声トラブルを装ってマルウェア入りの「拡張機能」をインストールさせ、macOSデバイスを標的にします。
| 攻撃グループ | 主な手口 | 特徴 | 主な標的 |
|---|---|---|---|
| ELUSIVE COMET | 偽Zoom会議でのリモートコントロール要求 | 画面名を「Zoom」に変更し、アプリからの要求に見せかける | ビジネスリーダー、インフルエンサー |
| BlueNoroff | ディープフェイクによる複数人参加の偽会議 | macOSを標的とし、音声トラブルを装いマルウェアをインストールさせる | 暗号通貨企業、Web3業界 |
これらの事例は、攻撃者が言語の壁をAIで乗り越え、よりパーソナライズされた、見破りにくい攻撃を仕掛けてきている現実を浮き彫りにしています。
Interested in leveraging AI?
Download our service materials. Feel free to reach out for a consultation.
【第2章】2FA神話の崩壊:セッションクッキーハイジャックの手口
多くの人がセキュリティの最後の砦と信じている2段階認証(2FA)。しかし、最新の攻撃はこれをいとも簡単に突破します。その鍵を握るのが「セッションクッキー」です。
5歳児にも分かる「セッションクッキー」説明
例えば、ノートPCでTelegramにログインするとき、最初にパスワードと2FAを一度入力します。するとTelegramは、毎回入力しなくて済むように「セッション用トークン」をPCに保存します。これは要するに「さっきパスワードと2FAを通した本人だよね?」という通行証です。攻撃者がこれを盗むと、その通行証をTelegramに提示できてしまい、Telegram側は「有効なセッションだ」と判断してログインを許します。
つまり、攻撃者はあなたのパスワードも2FAコードも必要ありません。あなたの「ログイン状態」そのものを盗み出すことで、正規のユーザーとして振る舞うのです。これがセッションハイジャックと呼ばれる攻撃です。
コマンド実行が「終わりの始まり」
では、どうやってセッションクッキーを盗むのでしょうか。冒頭の事例では、偽のZoomアプリが「音声が壊れている」と表示し、アップデートを促します。そして、アップデートが失敗したと見せかけ、コマンドラインでのトラブルシューティング手順を提示します。
このコマンドをターミナルに貼り付けた瞬間、すべてが終わります。
このコマンドは、攻撃者にPCのリモートアクセス権を渡すためのものです。一度リモートアクセスを許してしまうと、攻撃者は「インフォスティーラー(情報窃取マルウェア)」と呼ばれるプログラムを送り込みます。
インフォスティーラーの脅威:2025年の統計が示す深刻さ
インフォスティーラーは、PC内に保存されているあらゆる機密情報を静かに、そして高速に盗み出します。2025年の調査によれば、この種のマルウェアによる被害は爆発的に増加しています。
2024-2025年の衝撃的な統計:
- IBM X-Force: フィッシングメール経由のインフォスティーラー配信が前年比84%増加
- Mandiant: 盗まれた認証情報が2024年の侵入ベクトルの16%を占め、エクスプロイトに次ぐ第2位に
- Verizon DBIR: ランサムウェア被害者の54%がインフォスティーラーの認証情報ダンプに登場
- 総計: 5,300万件以上の漏洩認証情報、1,300万台の感染デバイス(2024年)
インフォスティーラーが盗む情報は多岐にわたります。ブラウザに保存されたパスワード、クレジットカード情報、そして最も重要なセッションクッキー。これらの情報は「スティーラーログ」としてZIPファイルにまとめられ、以下のようなファイル構造で攻撃者に送信されます。
スティーラーログの典型的な構造:
All Passwords.txt- すべてのキャプチャされた認証情報Cookies\- 盗まれたブラウザクッキーファイルのフォルダWallets\- 暗号通貨ウォレットデータAutofill.txt- 名前、住所などの保存されたフォームデータSystem.txt- OS、IPアドレス、ハードウェア詳細Screen.png- デスクトップのスクリーンショット
犯罪のサプライチェーン:ダークウェブ市場の実態
盗まれた情報は、ダークウェブ市場で売買されます。「Russian Market」などの違法フォーラムでは、自動化されたショップが運営されており、購入者はキーワード、企業ドメイン、ソフトウェアなどで盗まれたログを検索できます。価格は1ログあたり1ドルから100ドル以上で、銀行、暗号通貨、企業ログインを含むものは高額で取引されます。
さらに、「初期アクセスブローカー(IAB)」と呼ばれる犯罪者たちは、これらのログから価値の高い企業認証情報(VPNログイン、RDPパスワード、SaaSアカウント)を抽出し、企業ネットワークへのアクセス権を数百ドルから数千ドルで販売します。この「犯罪のサプライチェーン」により、一つのグループがデータを盗み、別のグループがそれを利用してランサムウェア攻撃や大規模な詐欺を実行するのです。
| 主要なインフォスティーラー | 特徴 | 価格/配布方法 |
|---|---|---|
| Lumma Stealer | 2024年に最も普及したMaaS(Malware as a Service)。IBM調査で最多検出。 | 月額250ドル〜20,000ドル(プレミアムライセンス) |
| RedLine Stealer | 2020年から2023年にかけて猛威を振るった。インフォスティーラー感染の51%を占めた時期も。 | MaaSモデル |
| Vidar Stealer | 2024年後半のインフォスティーラーインシデントの17%(Lummaに次ぐ第2位)。 | わずか6ヶ月で6,500万件以上のパスワードを窃取 |
| Raccoon Stealer | 広範な機能、持続的な脅威。 | MaaSモデル |
ランサムウェア被害者の実に54%が、事前にインフォスティーラーによって認証情報を盗まれていたというデータもあり、セッションハイジャックがいかに深刻な脅威の連鎖の起点となっているかが分かります。Verizonの報告によれば、Webアプリケーション侵害の88%が盗まれた認証情報を使用しており、もはや攻撃者は「侵入」ではなく「ログイン」する時代になったのです。
【第3章】現実と虚構の境界が消える:ディープフェイク詐欺の最前線
AI詐欺のもう一つの恐るべき側面が、ディープフェイク技術の悪用です。もはや、自分の目や耳でさえ信じられない時代が到来しています。
ビデオ会議が丸ごと偽物:香港37億円詐欺事件
2024年2月、香港で衝撃的な事件が発生しました。ある多国籍企業の財務担当者が、ビデオ会議に参加していた全員がディープフェイクであることに気づかず、2,500万米ドル(約37億円)を送金してしまったのです。
攻撃の流れは以下の通りでした。まず、英国本社のCFO(最高財務責任者)を装ったメールが届きます。内容は「秘密の取引を実行する必要がある」というもので、当初、被害者はフィッシングメールではないかと疑念を抱きました。しかし、その後、複数人参加のビデオ会議に招待され、そこに映っていたCFOや他の同僚たちは、外見も声も本人そっくりに再現されていました。
香港警察のBaron Chan Shun-ching警視正は記者会見で「複数人のビデオ会議で、彼が見た全員が偽物だった」と述べています。被害者は、会議の参加者が本物の同僚に見え、聞こえたため、疑念を捨て、合計2億香港ドル(約2,560万米ドル)の送金に同意してしまいました。詐欺は、従業員が後に本社に確認した際に初めて発覚しました。
この事件は、ディープフェイク技術がいかに洗練され、複数人が参加する会議環境さえも完全に偽装できるレベルに達しているかを示しています。
AIがシナリオを作成:日本の「ニセ警察官」詐欺
日本も例外ではありません。2026年1月29日、警察庁は、マレーシアを拠点とする国際詐欺グループが摘発されたと発表しました。彼らは、AIを駆使した「ニセ警察官」詐欺を行っていました。
攻撃の詳細:
- ChatGPTによるシナリオ生成: 「携帯電話料金が未払いになっている。警察の調査を受ける必要がある」といった、もっともらしい詐欺の口実をAIが自動生成。
- ディープフェイクによる映像生成: 偽の警察官の映像を生成し、LINEのビデオ通話で使用。警察の制服と偽の警察手帳を使用し、背景には日本国旗を貼って警察庁舎から通話しているように装う。
- 役割分担: 映像は「口パク」をさせ、実際の会話は日本人の「声役」が担当。これにより、言葉の壁を完全に克服。
このグループは、2025年8月にマレーシアの首都クアラルンプールで摘発され、台湾人5人、日本人4人、マレーシア人1人の計10人が拘束されました。拠点からは、パソコン4台、携帯電話26台のほか、インターネット通販で購入したとみられる日本警察の制服一式や記章2個も押収されました。
被害は、確認されているだけで8人、被害総額は1,865万円に上ります。しかし、これは一つの拠点の被害に過ぎません。2025年のニセ警察詐欺を含むオレオレ詐欺の被害額は、11月末現在で前年同期比2.7倍の956億円と急増しています。AIが詐欺のシナリオ作りから実行まで、包括的に悪用された事例です。
爆発的に増加するAI詐欺:統計が示す危機的状況
統計データも、この脅威の深刻さを示しています。
2025-2026年のAI詐欺統計:
- AI駆動型詐欺の増加: 2025年、米国企業の71%がAIを利用した詐欺の増加を報告。財務リーダーの47%が懸念を表明。
- ディープフェイク詐欺の損失: 2025年第1四半期だけで、ディープフェイク関連の詐欺による損失は2億ドルを超えました。
- 消費者詐欺損失: 2024年の総額は125億ドルで、前年比25%増加。詐欺報告件数は年間230万件で横ばいだが、損失額は急増しており、スキームがより巧妙化していることを示しています。
- 侵害データの急増: 2025年第1四半期に侵害された個人データが186%急増、フィッシング報告が466%増加(AI生成フィッシングキットと自動化が原因)。
- AI攻撃の根本原因: 2025年の報告されたインシデントの40%以上でAI駆動型攻撃が根本原因となっています。
日本の状況:
2026年1月29日、情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2026」では、新たに「AIを悪用した偽情報の拡散」が脅威としてランクインし、社会的な脅威として公式に認知されました。組織向け脅威では、1位の「ランサム攻撃による被害」と2位の「サプライチェーンや委託先を狙った攻撃」は2023年以降、4年連続で順位に変わりがありません。これは、従来型の脅威が依然として猛威を振るう中、AIという新たな脅威が加わったことを意味しています。
ディープフェイク詐欺の標的内訳
2025年第1四半期のディープフェイク詐欺の標的を分析すると、以下のような内訳になります。
| 標的カテゴリ | 割合 | 説明 |
|---|---|---|
| 公人 | 41% | 企業の経営陣、政治家、著名人など |
| 個人 | 34% | 一般消費者、リモートワーカー |
| その他 | 25% | 組織、団体など |
公人が最も多く標的にされているのは、彼らの音声や映像が公開されており、ディープフェイクの素材として利用しやすいためです。実際、2025年には、イタリアの国防大臣Guido Crosetto氏の音声がクローン化され、約100万ユーロの詐欺に使われた事例も報告されています。
【第4章】私たちにできること:AI時代の新たな防御策
これほど巧妙化するAI詐欺に対し、私たちはどのように立ち向かえばよいのでしょうか。技術的な対策と、私たち自身の意識改革の両方が不可欠です。
個人レベルでの対策:「面倒なことはやらない」が最強の防御
セキュリティの世界には「最も安全な行動は、何もしないこと」という格言があります。これは消極的に聞こえるかもしれませんが、AI詐欺対策において非常に重要な原則です。
覚えておくべき鉄則:
- ビデオ会議のためにコマンドを実行する必要は、通常ありえない
- 「音声トラブル」を理由にソフトウェアのインストールを求められたら、詐欺を疑う
- 急かされる状況こそ、一度立ち止まって考える
以下、具体的な対策をご紹介します。
1. 安易なトラブルシューティングをしない
特に、相手から指示されたコマンドの実行や、ソフトウェアのインストールは絶対に行わないでください。正規のサポートであれば、あなたのPCに直接コマンドを実行させることはありません。もし本当に技術的な問題が発生した場合は、公式サポートに直接連絡するか、信頼できるIT専門家に相談しましょう。
2. リンクを疑う習慣をつける
URLのドメイン部分を注意深く確認してください。特に、サブドメインの順序に注意が必要です。ブラウザのアドレスバーに表示されるURLを、クリックする前に必ず確認する習慣をつけましょう。
確認ポイント:
- ドメインの綴りは正しいか?(例:
zoom.usが正しく、zoom.webus05.usは偽物) - HTTPSで始まっているか?(ただし、HTTPSだけでは安全とは限りません)
- 短縮URLの場合、展開して確認する
3. ビデオ会議でも本人確認を
予期せぬ会議や、金銭が絡む重要な会話の場合、事前に決めた「合言葉」を確認するなど、多角的な本人確認を行いましょう。例えば、「先週の会議で話題になった〇〇の件、覚えてる?」といった、AIでは答えられない個人的な質問を投げかけるのも有効です。
4. 少しでも怪しいと感じたら、一度立ち止まる
焦らせるような要求は詐欺の常套手段です。「今すぐ送金しないと大変なことになる」「このリンクをすぐにクリックしてください」といった緊急性を煽るメッセージには特に注意が必要です。一度通信を切り、別の手段(電話番号を知っていれば電話するなど)で本人に確認しましょう。
5. OSやブラウザを最新の状態に保つ
セキュリティパッチを適用し、基本的な防御力を高めることは、依然として重要です。多くのマルウェアは、既知の脆弱性を悪用して侵入します。自動アップデートを有効にし、常に最新の状態を保ちましょう。
6. ブラウザにパスワードを保存しない
可能であれば、ブラウザにパスワードを保存するのは避け、専用のパスワードマネージャーを使用しましょう。多くのパスワードマネージャーは、ブラウザよりも強固な暗号化を提供し、マスターパスワードで保護されています。
7. セッションクッキーの定期的なクリア
定期的にブラウザのクッキーをクリアすることで、万が一セッションクッキーが漏洩した場合でも、その有効期限を短くすることができます。特に、重要なアカウント(銀行、暗号通貨取引所など)にアクセスした後は、ログアウトとクッキーのクリアを習慣化しましょう。
企業・組織レベルでの対策:多層防御の構築
企業は、従業員をAI詐欺から守るための多層的な防御策を講じる必要があります。
1. 従業員教育の徹底
最新の詐欺手口に関する定期的なトレーニングを実施し、全従業員のセキュリティ意識を高めることが最も重要です。特に、以下の点を重点的に教育しましょう。
- フィッシングメールの見分け方
- 偽のビデオ会議システムの手口
- セッションハイジャックのリスク
- ディープフェイクの存在と見破り方
- インシデント発生時の報告手順
定期的に模擬フィッシング訓練を実施し、従業員の対応力を測定・向上させることも効果的です。
2. 技術的対策の導入
以下のような技術的対策を組み合わせることで、多層的な防御を構築できます。
- EDR (Endpoint Detection and Response): 不審なプロセスの実行やファイルアクセスを検知・ブロックします。特に、インフォスティーラーの特徴的な動作(ブラウザのクッキーファイルへのアクセスなど)を検知できるEDRを選定しましょう。
- DNSフィルタリング: 既知の悪意のあるドメインへのアクセスをブロックします。偽のZoomドメインなど、フィッシングサイトへのアクセスを未然に防ぎます。
- FIDO2/パスキーの導入: セッションハイジャックに耐性のある、より強力な認証方式へ移行しましょう。FIDO2は、公開鍵暗号を使用し、フィッシングやセッションハイジャックに対して高い耐性を持ちます。
- ゼロトラストアーキテクチャ: 「信頼せず、常に検証する」という原則に基づき、すべてのアクセスを継続的に検証します。
- Just In Time (JIT) アクセス: 必要な時にのみ、必要な権限を付与することで、万が一アカウントが侵害された場合の被害を最小限に抑えます。
3. 業務プロセスの見直し
技術的な対策だけでなく、業務プロセス自体を見直すことも重要です。
- 送金プロセスの多重確認: 特に大きな金額の送金や、新しい送金先への送金の場合、複数の担当者による確認や、ビデオ会議以外の手段(対面、電話など)での最終承認を義務付けます。
- 変更管理プロセスの厳格化: 銀行口座情報や送金先の変更要求があった場合、必ず既知の連絡先(事前に登録された電話番号など)で本人確認を行います。
- 「合言葉」や「秘密の質問」の設定: 重要な取引や情報のやり取りの際に、事前に決めた合言葉や秘密の質問で本人確認を行う仕組みを導入します。
4. インシデント対応計画の策定
万が一被害に遭った場合に、迅速に対応し被害を最小限に抑えるための計画を事前に準備しておきましょう。
- インシデント対応チームの編成: 誰が、何を、いつ行うかを明確にします。
- 連絡体制の確立: 社内外の関係者(経営陣、法務、広報、警察、セキュリティベンダーなど)への連絡手順を定めます。
- 定期的な訓練: 計画が実際に機能するか、定期的に訓練を実施します。
5. サプライチェーンセキュリティの強化
自社だけでなく、取引先やパートナー企業のセキュリティレベルも確認しましょう。サプライチェーンの弱い部分が、攻撃の入口となることがあります。
ブラウザベースのZoom利用:簡単で効果的な対策
Trail of BitsのCEOがELUSIVE COMETの攻撃を回避できた理由の一つは、Zoomアプリをインストールせず、ブラウザ版を使用していたことです。ブラウザ版Zoomは、リモートコントロール機能が制限されており、攻撃者がPCを乗っ取ることができません。
ブラウザ版Zoom利用のメリット:
- リモートコントロール機能が使えないため、攻撃者がPCを乗っ取れない
- アプリのインストールが不要で、マルウェアが仕込まれるリスクが低い
- 初対面の相手との会議など、リスクが高い状況で有効
もちろん、ブラウザ版には機能制限もありますが、セキュリティを優先する場合、特に初対面の相手との会議では、ブラウザ版の利用を検討する価値があります。
「知っている」と「対処できる」は違う:組織的なAIリテラシー向上が急務
ここまで解説してきた通り、AI詐欺は従来のセキュリティ対策だけでは防げない、新しい次元の脅威です。特に深刻なのは、一人の従業員の判断ミスが、組織全体に甚大な被害をもたらすという点です。
香港37億円詐欺事件の被害者は、決してセキュリティ意識の低い人物ではありませんでした。最初はフィッシングを疑い、慎重に行動していたにもかかわらず、ディープフェイクによる偽ビデオ会議という「想定外」の手口に騙されてしまいました。
これは、「知識」と「実践力」は別物であることを示しています。従業員が「ディープフェイク」という言葉を知っていても、実際にそれを見抜けるかどうかは全く別の問題なのです。
組織として本気でAI詐欺から身を守るためには、以下の3点が不可欠です。
- 最新の脅威動向を常にアップデート: AI詐欺の手口は日々進化しています。年1回の研修では追いつきません。
- 実践的なトレーニング: 座学だけでなく、模擬攻撃を通じた実践的な訓練が必要です。
- 経営層から現場まで全員が当事者意識を持つ: セキュリティは「情シス部門の仕事」ではなく、全社的な経営課題です。
TIMEWELLでは、こうした課題に対応するため、**WARP(AI人材育成プログラム)**を提供しています。
- WARP 1Day: 1日でAI活用の基礎からセキュリティリスクまでを体系的に学習
- WARP NEXT: 3ヶ月かけてAIセキュリティ推進リーダーを育成
- WARP BASIC: 全社員向けのAIリテラシー研修(カスタマイズ可能)
「AI詐欺の手口は知っているが、組織としての対策が進んでいない」「従業員教育を強化したいが、何から始めればよいか分からない」という方は、ぜひ無料相談をご活用ください。
【第5章】2026年の展望:エージェンティックAIと新たな脅威
AI詐欺の脅威は、2026年以降もさらに進化すると予測されています。Experianの予測によれば、AI詐欺は2026年に急増し、特に雇用詐欺がエスカレートするとされています。改善されたAIツールにより、ディープフェイク候補者が面接に参加し、実際には存在しない人物が採用されるといった事態も想定されます。
また、「エージェンティックAI」と呼ばれる、より自律的に動作するAIを利用する詐欺の増加も懸念されています。これは、人間の指示を待たずに、AIが自ら判断して行動するもので、詐欺の自動化と高度化がさらに進む可能性があります。
しかし、AIは攻撃者だけでなく、防御者側も利用できる技術です。銀行や金融機関は、GenAIを使った詐欺対策を強化しており、リアルタイムで異常な取引を検知し、ブロックするシステムの開発が進んでいます。私たち一人ひとりが最新の脅威を学び、適切な対策を講じることで、AI詐欺のリスクを大幅に減らすことができるのです。
まとめ:デジタル時代を生き抜くために
AIは私たちの生活や仕事を豊かにする強力なツールですが、同時に、悪意ある者にとっては強力な武器にもなります。2FAを設定しているからという「思い込み」を捨て、常に最新の脅威を学び、警戒を怠らないことが、これからのデジタル社会を生き抜く上で不可欠なスキルと言えるでしょう。
本記事で紹介した手口は、氷山の一角に過ぎません。攻撃者は日々、新たな手法を開発しています。しかし、その手口を知り、基本的な対策を徹底することで、被害に遭うリスクを大幅に減らすことは可能です。
今日からできること:
- ブラウザに保存されたパスワードを見直し、パスワードマネージャーへの移行を検討する
- 重要なアカウントでFIDO2対応のセキュリティキーを設定する
- 家族や同僚と、最新の詐欺手口について情報を共有する
- 企業のセキュリティ担当者に、本記事の内容を共有し、対策の見直しを提案する
あなたのデジタルライフを守るために、今日からできることから始めてみてください。そして、この情報を周りの人にも共有し、社会全体のセキュリティ意識を高めていきましょう。
参考文献
Malwarebytes. "Zoom attack tricks victims into allowing remote access to install malware and steal money." April 24, 2025. https://www.malwarebytes.com/blog/news/2025/04/zoom-attack-tricks-victims-into-allowing-remote-access-to-install-malware-and-steal-money
The Hacker News. "BlueNoroff Deepfake Zoom Scam Hits Crypto Employee with macOS Backdoor Malware." June 19, 2025. https://thehackernews.com/2025/06/bluenoroff-deepfake-zoom-scam-hits.html
DeepStrike. "Infostealer Malware & Credential Theft Trends in 2025." December 21, 2025. https://deepstrike.io/blog/infostealer-malware-credential-theft-2025
CNN. "Finance worker pays out $25 million after video call with deepfake 'chief financial officer'." February 4, 2024. https://www.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk
毎日新聞. "AIで「ニセ警察詐欺」か 口パクに日本人の声…台湾人ら10人逮捕." January 29, 2026. https://news.yahoo.co.jp/articles/e9bc0a810b7f024b715e8b4fb9cb51e3b9267bae
Business Wire. "AI Fraud Outpaces Human Defenses as 71% of U.S. Companies Report Rise in Attacks." January 26, 2026. https://www.businesswire.com/news/home/20260126508647/en/
ZeroFox. "The Deepfake Economy: A Critical Threat to Financial Leadership and Enterprise Security." September 10, 2025. https://www.zerofox.com/blog/the-deepfake-economy-a-critical-threat-to-financial-leadership-and-enterprise-security/
情報処理推進機構(IPA). "情報セキュリティ10大脅威 2026." January 29, 2026. https://www.ipa.go.jp/pressrelease/2025/press20260129.html