AI悪用サイバー攻撃から会社を守る｜最新手口と防御策

「社長の声で送金指示があった」「ビデオ会議で確認したから問題ないと思った」——こうした声を残して、数千万円から数十億円の被害に遭う企業が急増しています。本記事では、AIを悪用したサイバー攻撃の最新手口を解説し、中小企業が今すぐ実践できる具体的な防御策をお伝えします。

【本記事の結論】

• AIを悪用した攻撃は前年比89%増加し、わずか3秒の音声でも声を再現される時代に突入

• 従来の境界型防御では対応困難。高額送金の二経路確認とEDR導入が最優先の対策

• 技術・人材・予算が限られる中小企業こそ、優先順位を明確にした段階的な対策が不可欠

AIを悪用した攻撃が「常態化」した2025年

2026年1月、独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が初めて選出され、いきなり3位にランクインしました。これは、AIを悪用した攻撃がもはや「特殊な事例」ではなく、あらゆる企業にとって現実の脅威となったことを示しています。

クラウドストライクの2026年版グローバル脅威レポートによると、AIを活用する攻撃者の活動は前年比89%増加しました。さらに衝撃的なのは、サイバー犯罪の平均「ブレイクアウトタイム」（侵入から攻撃実行までの時間）がわずか29分にまで短縮されたことです。最速の事例では、たった27秒で攻撃が完了しています。

ランサムウェアの被害件数も歯止めがかかりません。世界の被害組織数は2023年の5,336件から2025年には8,159件へと約1.5倍に膨れ上がりました。日本国内でも2025年上半期だけで116件の被害が警察庁に報告されており、1日あたり約1.5件のペースで企業がサイバー攻撃の被害を公表している状況です。

最も警戒すべき3つの攻撃手口

ディープフェイク詐欺：わずか3秒の音声で声を完全再現

2025年第1四半期だけで、ディープフェイク詐欺による世界全体の被害額は2億ドル（約290億円）を超えました。北米では被害件数が前年比1,700%以上増加し、欧州の一部地域では3年間で2,000%を超えたと報告されています。

この攻撃の恐ろしさは、技術的なハードルが急速に下がっていることにあります。2025年時点で、わずか3〜5秒の音声サンプルから85%の精度で声を複製できるまでに技術が進化しています。YouTubeの企業紹介動画やオンライン講演から入手した音声データだけで、経営者の声を完璧に再現できてしまうのです。

実際に国内製造業（従業員約500名）では、CEOの声を再現したディープフェイク音声により、CFOが緊急の海外送金を指示され、1億2,000万円の被害が発生しました。攻撃者は「M&A交渉の最終段階」「今日中に送金しないと破談」と緊急性を強調し、「秘密保持のため他言無用」「メールは危険」と直接確認を妨害する周到さでした。

さらに深刻な事例として、香港では多国籍企業の財務担当者がビデオ会議でCFOや同僚と話していたつもりが、画面の向こう側にいた全員がAI生成のディープフェイクだったという事件が発生し、約40億円の被害が出ています。

AIフィッシング：検知を回避する「自己進化型」攻撃

従来のフィッシング詐欺は、不自然な日本語や明らかな誤字脱字で見分けることができました。しかし、AIを活用したフィッシングは、ターゲット企業の業界用語や社内の言い回しまで完璧に再現します。

SlashNextやCheck Pointのレポートによると、悪性リンクやメールの検出数が341%増加しています。特に問題なのは、大規模言語モデル（LLM）の自然言語処理能力により、従来のルールベース型フィルタをすり抜ける「検知困難なフィッシング」が標準化された点です。

2025年1月に発覚した快活フロンティアへの攻撃事件では、17歳の高校生がChatGPTを悪用して攻撃コードを作成しました。AIの倫理制限を回避するため、犯罪的な直接表現を避けながら遠回しな質問を繰り返してプログラムを書かせ、さらに企業のセキュリティ検知を回避するようAIに修正指示を出していたのです。この事例は、高度な専門知識がない人物でもAIを悪用すれば大企業を侵害できる現実を突きつけています。

ボイスフィッシング：法人口座を狙う組織的攻撃

2025年後半、銀行を装った自動音声電話を起点とする「ボイスフィッシング」の被害が再び急増しました。11月以降だけで50社以上が被害に遭い、不正送金被害は20億円を超えています。

手口は巧妙です。まず金融機関を装う自動音声ガイダンスが流れ、その後「担当者」を名乗る人物が電話に出ます。企業のメールアドレスを聞き出し、送付したメールのリンクから偽サイトへ誘導して認証情報を入力させます。新潟の企業では約1億9,000万円、山形鉄道では約1億円、福岡銀行の取引先企業6社では合計約8,000万円の被害が発生しています。

従来は電話のみで完結する詐欺が主流でしたが、2025年は電話、SNS、メッセージアプリ、ビデオ通話、偽サイトを組み合わせる「ハイブリッド型」へと移行しています。複数のチャネルを連携させることで、被害者を心理的に追い詰める手口が常態化しているのです。

なぜ「境界型防御」だけでは守れないのか

NTTデータグループのセキュリティアナリストは、「生成AIやAI支援サービスの普及に伴い、AIを悪用した攻撃やAI自体の脆弱性を突く事例が拡大し、従来の境界防御だけでは対応困難な局面を迎えている」と警鐘を鳴らしています。

これまでの「境界型防御」は、社内ネットワークを城に見立て、その周りに堀（ファイアウォール）を巡らせて外部からの侵入を防ぐ考え方でした。しかし、クラウドサービスの普及やリモートワークの拡大により、「社内」と「社外」の境界があいまいになっています。

さらに、企業がAIを業務に取り入れること自体が新たな攻撃の糸口を作っています。2025年には、AIコードレビューツールの脆弱性により本来アクセスできないプライベートリポジトリの情報が読み出し可能になる事例や、SalesforceのAIアシスタントの脆弱性を悪用して攻撃者が質問を送るだけで顧客データを上書きできる事例が発覚しました。

2026年の防御は「ネットワーク」から「アイデンティティ」へと大きくシフトすると予測されています。攻撃者はファイアウォールを突破するのではなく、クラウド環境の「設定ミス」や「過剰なアクセス権限」を正規の手段で悪用する手口を標準化させています。これらはマルウェアを用いないため、従来のウイルス対策ソフトでは検知が困難です。

特に中小企業にとって深刻なのは、セキュリティ専任担当者の不在や予算の制約という課題です。大企業のように24時間365日の監視体制を自社で構築することは現実的ではありません。だからこそ、限られたリソースの中で「何を優先すべきか」を明確にした対策が求められています。

中小企業が今すぐ実践すべき5つの防御策

セキュリティ対策は一度にすべてを導入する必要はありません。以下の優先順位で段階的に進めることをお勧めします。

【対策の優先順位】 まず①②を1か月以内に、③④を3か月以内に、⑤を半年以内に実施することで、コストを抑えながら効果的に防御力を高められます。

①高額送金の「二経路確認」を義務化する

最も即効性があるのは、高額送金時の確認プロセスを見直すことです。経理・資金担当者向けに「電話で認証情報は渡さない」方針を明文化し、送金指示があった場合は必ず別の通信手段（たとえば電話で指示があった場合はメールで確認、またはその逆）で本人確認を行うルールを徹底してください。音声やビデオ会議だけで高額送金を承認しない仕組みが、ディープフェイク詐欺への最も効果的な防御となります。導入コストはゼロで、今日から始められます。

②EDR（エンドポイント検知・対応）を導入する

従来のウイルス対策ソフトだけでは、AIが生成した未知のマルウェアや、マルウェアを使わない攻撃に対応できません。EDRは端末上の不審な動きを常時監視し、マルウェアの侵入活動やシステムファイルへの不正アクセスを検知・隔離します。

費用の目安は、端末1台あたり月額500〜1,500円程度です。東京都では中小企業向けにEDRの3か月間無償体験を提供する「サイバーセキュリティ基本対策事業」を実施しており、導入コストを抑えながら効果を確認できます。

③多要素認証（MFA）を全社展開する

パスワードだけの認証は、もはや安全とは言えません。物理的なセキュリティキーやパスキーを活用したフィッシングに強い多要素認証を、特に経営層や経理担当者のアカウントには必須として導入してください。Microsoft 365やGoogle Workspaceを利用している企業であれば、追加費用なしで多要素認証を有効化できます。

④従業員への定期的なセキュリティ教育を実施する

技術的な対策だけでなく、人的な脆弱性を減らすことも重要です。AIを悪用した攻撃の最新手口を全従業員に周知し、模擬フィッシング訓練を定期的に実施してください。ディープフェイク詐欺の被害者の多くは、「懸念を感じながらも無視してしまった」と証言しています。不審に感じたら必ず確認する文化を醸成することが、最後の防御線となります。

⑤インシデント対応計画を策定する

サイバー攻撃は「起きるかどうか」ではなく「いつ起きるか」の問題です。被害が発生した際の初動対応手順、連絡体制、復旧手順を事前に策定し、定期的に訓練を行ってください。あわせて、サイバー保険への加入も検討することで、万が一の被害に備えることができます。

対策を放置するとどうなるか

セキュリティ対策を後回しにした企業の末路は深刻です。ランサムウェア被害を受けた企業の平均被害額は2.1億円に達し、復旧に数か月を要するケースも珍しくありません。さらに、取引先への影響からサプライチェーン全体に被害が波及し、取引停止や契約解除に至る事例も増えています。「うちは狙われない」という認識こそが、最大のリスクなのです。

GXOのセキュリティ支援で企業を守る

AIを悪用したサイバー攻撃は、今後さらに高度化・巧妙化することが予想されます。攻撃者がAIを活用する以上、防御側もAIを活用し、「高速化・大規模化する脅威」に効率的に対抗していく手段を検討することが不可欠です。

GXOでは、SIEM/SOARを活用したセキュリティ運用・監視体制の構築から、EDR導入支援、従業員向けセキュリティ教育まで、中小企業のセキュリティ対策を包括的にサポートしています。180社以上の支援実績と成功率92%の実績を持つ専門チームが、御社の状況に合わせた最適な防御策をご提案します。

「自社のセキュリティ対策が十分かわからない」「何から手をつければいいかわからない」という方は、まずは無料のセキュリティ現状診断から始めてみてはいかがでしょうか。初回相談は無料で、御社の課題に合わせた対策をご提案します。

まとめ

AIを悪用したサイバー攻撃は、2025年から2026年にかけて「常態化」の段階に入りました。ディープフェイク詐欺では3秒の音声から声を再現され、AIフィッシングは従来の検知フィルタを容易にすり抜けます。従来の境界型防御だけでは対応困難な時代において、高額送金の二経路確認、EDR導入、多要素認証、従業員教育、インシデント対応計画の5つの対策を、優先順位をつけて段階的に導入することが、中小企業を守る鍵となります。

詳しいセキュリティ対策については、GXOにご相談ください。 https://gxo.co.jp/contact-form