生成AIを便利に使う以前に、インターネットの世界には数多くの「落とし穴」があります。
「自分は騙されないから大丈夫」と思っていませんか?
サイバー攻撃の手口は年々巧妙化しており、最近ではAIを使って本物そっくりの詐欺メールを作るケースも増えています。
この記事では、生成AIパスポート試験で問われるセキュリティの基本用語を解説します。フィッシング詐欺の種類から、人間の心理を突く「ソーシャルエンジニアリング」、そしてAI時代の新たな脅威まで、身を守るための知識をしっかり身につけましょう。
利用者の興味を引くフィッシング詐欺とマルウェア
まずは、インターネット詐欺の代表格である「フィッシング」と、コンピュータウイルスなどの「マルウェア」について解説します。
フィッシング詐欺とその種類
フィッシング詐欺とは、実在する企業(銀行やAmazonなど)を装ったメールを送りつけ、偽のサイトに誘導してIDやパスワード、クレジットカード情報を盗み出す手口です。
最近では、手段によって以下のような呼び分けがあります。
- スミッシング(Smishing):SMS(ショートメッセージ)を使ったフィッシング。「宅配便の不在通知」を装う手口が有名です。
- ヴィッシング(Vishing):電話(Voice)を使ったフィッシング。「口座が凍結されました」などの自動音声を流して焦らせ、情報を聞き出します。
- スピアフィッシング:特定の個人や企業を狙い撃ち(スピア)にする手口。業務メールを装うため、見抜くのが非常に困難です。
マルウェアとランサムウェア
マルウェアとは、「悪意のあるソフトウェア(Malicious Software)」の総称です。いわゆるコンピュータウイルスなどがこれに含まれます。
中でも危険なのがランサムウェアです。これに感染すると、パソコン内のデータが勝手に暗号化されて開けなくなり、「元に戻してほしければ身代金(Ransom)を払え」と脅迫されます。
対策:
基本はアンチウイルスソフトウェア(ウイルス対策ソフト)を導入し、常に最新の状態にしておくことです。
悪意のあるQRコード
街中のポスターや飲食店のメニューなど、QRコードは便利ですが、これにも罠があります。
正規のQRコードの上に、偽サイトに誘導する「悪意のあるQRコード」のシールが上貼りされているケースがあります。スマホで読み込むと、フィッシングサイトに飛ばされたり、マルウェアをダウンロードさせられたりする危険があります。読み込む前に「シールが貼られていないか」を確認する癖をつけましょう。
Wi-Fiに潜む罠
カフェや空港の「フリーWi-Fi」も注意が必要です。
攻撃者が設置した「偽のWi-Fiスポット(悪魔の双子)」に接続してしまうと、通信内容(入力したパスワードやメールの中身)をすべて盗み見られてしまいます。
鍵マーク(暗号化)がないWi-Fiには接続しない、重要なやり取りはモバイル通信で行うなどの対策が必要です。
アップロードサービスに潜む詐欺
「大容量ファイル便」などのファイルアップロードサービスを悪用した詐欺もあります。
「請求書はこちらからダウンロードしてください」というメールが届き、リンク先の正規のファイル共有サービスからファイルをダウンロードさせようとします。しかし、そのファイル自体にマルウェアが仕込まれているケースがあります。「知っているサービスだから安全」とは限らないのです。
不適切なコンテンツへのWebアクセス
業務中に不用意にWebサイトを閲覧することもリスクになります。
アダルトサイトや違法サイトだけでなく、一見普通のサイトに見えても、アクセスしただけでマルウェアに感染させる仕掛け(ドライブバイダウンロード)が施されている場合があります。
企業ではフィルタリングソフトでアクセスを制限することが一般的ですが、個人のリテラシーとしても「怪しいサイトには近づかない」ことが重要です。
ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリングとは、コンピュータ技術を使わず、「人間の心理的な隙」や「行動のミス」につけ込んで情報を盗む攻撃手法のことです。
パスワードを覗き見たり(ショルダーハッキング)、ゴミ箱から書類を漁ったりするアナログな手法も含まれますが、ネット上でも様々な手口があります。
代表的な手口とキーワード
- ベイト攻撃(Baiting):「餌(Bait)」で釣る手口です。「給与明細.exe」「極秘リスト.USB」のように、興味を引く名前のファイルやUSBメモリをわざと放置し、被害者が開くのを待ちます。
- ブラックメール(Blackmail):「あなたの恥ずかしい秘密を知っている」などと脅迫し、口止め料を要求したり情報を引き出したりする手口です。
- プレテキスト(Pretexting):「シナリオ」や「口実」を作って騙す手口です。例えば、IT担当者のふりをして電話をかけ、「システムメンテナンスのためにパスワードを教えてください」と巧みに聞き出します。
プライバシー設定
生成AIやSNSを使う際は、プライバシー設定を必ず確認しましょう。
特に生成AIツールでは、初期設定で「入力したデータ(会話内容)をAIの学習に使う」となっている場合があります。業務上の機密情報を入力してしまうと、それがAIに学習され、他のユーザーへの回答として漏洩してしまうリスクがあります。
「学習に使わない設定(オプトアウト)」にするか、機密情報は入力しないというルールを徹底しましょう。
生成AIの技術的発展に潜む脅威
生成AIの進化は、攻撃者にとっても好都合です。
- 詐欺メールの巧妙化:これまでの詐欺メールは「日本語が不自然」で見抜けることが多かったですが、生成AIを使えば、完璧なビジネスメールを大量に作成できてしまいます。
- マルウェアの作成支援:プログラミングが得意なAIを悪用して、高度なウイルスコードを作成させる試みも確認されています。
「AI時代だからこそ、これまで以上に人間が警戒心を持つ必要がある」という点を理解しておきましょう。
まとめ
今回の記事では、ネット利用に潜むリスクについて解説しました。
- フィッシング:SMS版はスミッシング、電話版はヴィッシング、標的型はスピアフィッシング。
- マルウェア:身代金要求型ウイルスはランサムウェア。
- ソーシャルエンジニアリング:人間の心理を突く攻撃。餌で釣るベイト攻撃、口実を作るプレテキストなどがある。
- 生成AIのリスク:入力データが学習される設定になっていないか確認する。
これらの用語は、試験で「SMSを使った詐欺はどれか?」といった形式でよく出題されます。それぞれのキーワードの意味と手口をセットで覚えておきましょう!
コメント