ChatGPTを装ったフィッシングメールのイメージ。撮影:松本和大こちらはBusiness Insider Japanの無料ニュースレターに掲載されたコラムです。無料ニュースレターでは、日替わりで編集部員がコラムを執筆しています。Tech Insiderの振り返りコラムは、毎週金曜日に配信しています。ニュースレター(無料)に登録する
「ChatGPT Plusの支払い方法を更新してください」
こんなメールが届いたら、すぐに偽物だと見抜けるでしょうか。
生成AIのリスクというと、AIが現実と見紛うような画像や音声を作る、ディープフェイクで誰かになりすます、といった話を思い浮かべるかもしれません。
それも大きな脅威ですが、マイクロソフトが6月8日付で公開したセキュリティブログを見ると、もう少し身近で、ある意味では古典的なリスクも見えてきます。AIそのものが人をだますのではなく、「AIサービスの名前」が人をだます、というものです。
マイクロソフトによると、攻撃者はChatGPTやClaude、Microsoft Copilot、DeepSeekといったAIサービスを装い、フィッシングメールなどに使っています。
紹介されている事例では、「ChatGPT Plusを継続するには支払い方法を更新してください。7日以内に更新しないと無料プランに格下げされます」といった趣旨のメールが使われていました。ChatGPTのロゴを表示し、期限を切って焦らせ、偽サイトで氏名・住所・クレジットカード情報を入力させる、という流れです。
ほかにも、Claudeを装って「アカウントが規約に違反しています」と警告し、申し立て手続きのように見せかけてログイン情報を盗もうとするメールも報告されています。
技術的には新しいタイプの詐欺というより、昔からある手口の置き換えです。「宅配便の不在通知」「銀行の本人確認」のような偽メールが、AIブームに合わせて内容を変えている。そう考えると、かなり分かりやすい話です。
生成AIは身近になりつつありますが、料金プランやログイン方法、公式からの案内メールまで細かく把握している人は多くないかもしれません。だからこそ、もっともらしいロゴや文面で「AIアカウントに問題があります」と言われると、それだけで本物らしく見えてしまいます。
対策は、昔からあるフィッシングメールへの対応と変わりません。メール内のリンクから直接ログインしない。支払い情報やパスワードを入れる前に一度メールを閉じて、公式アプリやブックマークから入り直して確認する。
AIが身近になるほど、AIの名前をかたるメールに出合う可能性も高くなります。便利なサービス名ほど悪用されることもある。そんな前提で、少しだけ疑って見るくらいがちょうどよさそうです。
今さら聞けない「パスキー」の詳細:詐欺抑止に金融業界でも普及。野村證券では29日から必須化 | Business Insider Japan