AI技術の急速な進歩が、より悪質で巧妙なハッキング攻撃を生み出し始めています。
私を含め、何千人ものサイバーセキュリティの専門家が、2022年11月にChatGPTが公開されて以来、AIの悪用について話し続けてきました。決して私だけの懸念ではなく、サイバーセキュリティ業界全体が、AIについて警鐘を鳴らし続けてきました。AIが進歩すれば、攻撃者も生産性を向上させ、私たちの被害が大きくなることが分かっていたからです。
つい数か月前まで、私はAIによる攻撃について話すとき、必ず次のように付け加えていました。「AIを使った攻撃は確実に増えますが、少なくとも“今日”皆さまが侵害されるとしたら、その攻撃にAIは関与していない可能性が高いでしょう。」
しかし数か月前から、そのメッセージを変えました。いま私が言っているのは、「これから皆さまはAIを活用した攻撃を受ける可能性が高くなり、2026年末までには、ほとんどのハッキング攻撃がAI主導になる」ということです。
なぜ考えを変えたのでしょうか。
AIが進化し、その進歩を攻撃者が自らのツールや手口に取り込むようになったからです。現在では、ほとんどのハッキングツールやフィッシングキットにAIが組み込まれています。その結果、攻撃者は以前より広い範囲で、より速く、より効率的に攻撃を行えるようになります。
AIの進化と悪質なハッキングの加速
AIの高度化は、これまでにないスピードで進んでいます。ここまで急速に広がった技術的変化は前例がありません。以下では、悪質なハッキングを一気に加速させることになったAI技術の主な進歩について見ていきます。
LLMによるフィッシングメールの生成
攻撃者は、ChatGPT、Claude、Gemini、Microsoft Copilotといった当初の大規模言語モデル(LLM)チャットボットを使い、よりリアルに見えるフィッシングメールを簡単に作成できることをすぐに証明しました。
かつて、多くのサイバー攻撃者は、法的リスクを避けるために被害者とは別の国に住んでおり、攻撃に使う言語を流暢には話せませんでした。その結果、多くのフィッシングメールには誤字や不自然な文法が含まれていました。実際、誤字脱字や文法の誤りは、KnowBe4を含むあらゆるサイバーセキュリティ担当者が教えてきた「典型的なフィッシングメールのサイン」のひとつでした。
しかしAIチャットボットによって、攻撃者はほぼあらゆる言語で、誤字や文法ミスのない、自然なフィッシングメールを作成できるようになりました。各国や各業界特有の言い回しも反映できる上、被害者から質問が来ても、リアルな回答を返せます。以前は、フィッシングメールに対して質問がくると、攻撃者は説得力のある返答をすることが難しい状況でした。
AIチャットボットは、そうした状況を一変させました。私たちはもはや、「誤字脱字や文法の誤り」をフィッシングメールの主な見分け方として教えることはできません。
これだけで済めばよかったのですが、残念ながら話はここで終わりません。
画像合成
生成AIは、実在の人物であれ架空の人物であれ、その姿をまるで本物の写真のような画像として作り出すことができます。 いまでも私は、自分で入力したプロンプトから生成AIが画像を作る様子を見るたびに、その出来栄えに驚かされます。
攻撃者はこのようなリアルな画像を生成できるようになったことで、「AIディープフェイク」を使った攻撃が可能になりました。攻撃者は、実在の人物が実際には行っていない行為をしているような画像も作れますし、そもそも架空の人物の写真を生成することも可能です。いずれにせよ、まさに「百聞は一見に如かず」で、その画像に偽のメッセージを組み合わせることで、より多くの人をだませるようになります。
ボイスクローン(音声合成)
生成AIが偽の画像を作れるようになったのとほぼ同じ頃、AIは短い音声クリップを使って誰の声でもクローンできるようになりました。最初はその人物の音声を数分集める必要がありましたが、今では数秒の音声があれば十分です。私自身、わずか6秒ほどの音声クリップから、実在の人物の声をクローンすることに成功しています。
これにより、攻撃者は実在の人物の音声クリップを作成し、ボイスフィッシング(vishing)攻撃に利用できるようになりました。攻撃者は、ある人物になりすまして、何かを依頼したり、伝えたりする音声を作れますし、それを被害者に聞かせて狙った行動を引き出そうとします。多くの場合、音声クローンを悪用する攻撃者は、事前に作成した偽音声を留守番電話やオンラインのボイスメッセージとして残します。これは、以前のAIでは、あらかじめ音声を用意しておく必要があり、リアルタイムで柔軟に対応することが難しかったためです。
動画生成
さらに大きな転換点となったのが、AIが「動画」を作れるようになったときです。ある人物の写真と、その人物の音声録音をアップロードするだけで、その人が何かを話し、何かをしているように見える動画を生成できます。
これは非常に大きなゲームチェンジャーでした。犯罪者は、誰の姿でも、何を話しているようにも見える、極めてリアルな音声付き動画を簡単に作成できるようになったのです。この能力が実用レベルになったのは2024年です。そこからすぐに、攻撃者は偽の動画(多くは上司やCEOになりすましたもの)を使って、従業員に特定の行動を取らせる手口に利用し始めました。
ある事例では、被害者はZoom会議に呼び出され、自分の上司や同僚だと思っている相手と話をしていました。そこで「大きなビジネスチャンスを逃さないために、社内ルールに反してでもすぐに2,500万ドルを送金してほしい」と依頼されたのです。会議に参加していたのは、実際には本人だけで、他はすべて偽の映像でした。
被害者が質問すると、攻撃者はその問いに対応する事前録画の動画を用意していなかったため、突然Zoom会議を終了させ、「ネットワークの調子が悪くなったのでZoomは使えなくなった」とメッセージを送りました。そのうえで、「必要な情報は伝えたので、先ほど説明した手順どおりに進めてほしい」と説得し、最終的に被害者は送金してしまいました。
これが2024年当時の話です。この時点では、AIはまだリアルタイムで質問に応じることができませんでした。しかし今は、その制約がなくなりつつあります。
リアルタイム生成AI動画
私は2025年に、同僚のPerry CarpenterやJames McQuigganと一緒に、ある中国のWebサイトの動画を見ていました。そこでは、誰でも好きな「ペルソナ」をクリックするだけで、リアルタイムにその人物になりすませるようになっていました。Taylor Swiftをクリックすると、自分の動きや発言がTaylor Swiftの姿で表示されます。Nicholas Cageを選べば、同じようにNicholas Cageとして映し出されます。表示される映像はその人物ですが、声は話している本人のまま、という仕組みでした。
この技術については、Perry Carpenterによるデモ動画がいくつか公開されています。
攻撃者は、これを使えばリアルタイムで被害者の質問に答えられるようになります。ただし、その人物らしい声をある程度再現する必要はあります。完璧である必要はありませんが、たとえば太い声の男性がTaylor Swiftになりすますのは難しい、といった制約は残っていました。
リアルタイム動画と音声合成の組み合わせ
続いて、AIがリアルタイムで、姿だけでなく声も含めて他人に完全になりきれるようになりました。これはさらに大きなゲームチェンジャーでした。攻撃者は、なりすましたい人物(有名人、上司、親族など)を選び、その人物になりきってリアルタイムで会話できるようになりました。
この種の機能も、最初に登場したのは中国のWebサイトでした。その後、米国のエシカルハッカーが、リアルタイムAIの可能性を示すために同様の仕組みを公開しました。さらに1か月も経たないうちに、同様の機能を持つクラウドサービスやソフトウェアも現れました。その後は、さらに高機能なソフトウェアも登場し、こうしたツールが無料で利用できるようになっています。
リアルタイムのディープフェイクAIと自律的な応答
ここからが、ハッカーにとって最大の転換点であり、現在も進化を続けている部分です。私が「AIはまだそれほど心配しなくてよい」というメッセージから、「AIを本気で警戒すべきだ」というメッセージに変えたのは、この数か月の変化を見たからです。
現在、AIのLLMチャットボットと、リアルタイムの合成映像・音声が組み合わされています。攻撃者はAIチャットボットに対して、「特定の人物になりきり、このような方針で応対するように」とプロンプトで指示するだけです。あとはAIが、攻撃者の代わりに攻撃を進めます。何を話すか、どんな質問をするか、どう返答するかは、その多くがAI自身の判断に委ねられます。プロンプトに書かれていないやり取りも、AIが自律的に生成します。
PerryがSEC向けのプレゼンテーションで実演した例では、AIチャットボットがTaylor Swift風の人物「Brenda MacKey」になりきり、HiltonのIT部門の担当者として、被害者候補から個人情報を聞き出すように設定されていました。このデモを見ると、誰もが「これはソーシャルエンジニアリング攻撃の未来だ」と直感し、背筋が寒くなるはずです。
ソーシャルエンジニアリングでAIは人間を超えた
さらに重要なのは、AIを活用したソーシャルエンジニアリングが、人間の攻撃者によるソーシャルエンジニアリングよりも「人をだますうえで効果的だ」と証明されつつあることです。数年前、AIと人間の攻撃者を競わせるソーシャルエンジニアリングのコンテストが行われたときには、やはり人間が圧勝していました。昨年は依然として人間が勝ちましたが、AIもほとんど互角のところまで迫り、観客から拍手が起きるほどの出来でした。そして今年、ついにAIが人間を大きく上回ったのです。
AIを活用したソーシャルエンジニアリングチャットボットは、人間の攻撃者と比べて、個人情報を引き出せる確率が24.8%高いという結果も出ています。
私たちの子どもや孫の世代にとって、「ハッキング」とは人間が行うものではなく、エージェンティックAIが行うものだと認識される可能性が高いでしょう。人間は、そのボットを起動するだけの存在になっていくかもしれません。
エージェンティックAI
ここで、「エージェンティックAI」という言葉が出てきました。今後、多くのソフトウェアやサービスはエージェンティックAIへと姿を変えていきます。これは何を意味するのでしょうか。
従来のソフトウェアは、同じ入力に対しては常に同じ出力を返す、決定論的な動作を前提としていました。一方、エージェンティックAIでは、状況に応じて出力が変わります。
この仕組みは、現実世界の「住宅を建設する作業」に少し似ています。理屈上は、誰でも自分で家を建てることはできますが、多くの人はプロに任せます。そこで、設計図を描く建築家がいて、全体を管理するゼネコン(総合請負業者)がいて、コンクリート工事、塗装、大工、床材、配管工事、電気工事など、それぞれの専門家がいます。各専門家は、ゼネコンとは独立して、依頼された仕事をこなします。
AIの世界では、このゼネコンにあたる存在を「オーケストレーター」と呼びます。人は、オーケストレーターを選び、目標を与え、その目標に向かって協調して働く複数のエージェントを束ねて動かします。家を建てることも、企業へのハッキングも、エージェンティックAIによる脅威からの防御も、その一例です。
今後は、攻撃側も防御側も、あらゆるものがエージェンティックAIになっていきます。
AIはソーシャルエンジニアリングだけでなく、あらゆる種類のハッキングに組み込まれていくでしょう。
攻撃用AIボット(ハックボット)
AIツールやボットは、すでに脆弱性を見つけるために利用されています。バグバウンティコミュニティであるHackerOneは、2025年2月、XBOWというAIツールが、その月のコンテストにおいて、人間のリサーチャーよりも多くの脆弱性を発見したと発表しました。これは初めての出来事でした。
現在では、AIツールがあまりに多くの脆弱性を見つけるようになったため、コンテストの結果や報酬の仕組みを、人間とAIツールで分けて管理するようになりました。そうしないと、人間側のモチベーションが保てないからです。
その同じ年に、Googleは自社のAIボット「Big Sleep」が複数のゼロデイ脆弱性を発見したと発表しました。このボットはゼロデイを見つけるだけでなく、「近いうちに攻撃者に悪用されそうなゼロデイ」を特定することにも成功していました。
すでに、攻撃者が悪意ある目的でエージェンティックAIを使い始めた最初の事例も報告されています。2025年8月27日、ESETは「AIを利用した初のランサムウェア攻撃」を発表しました。同じ日にAnthropicは、AIを悪用することでほぼすべての犯行プロセスを自動化し、17社に侵入した事例を公表しています。これは、今後12か月のうちに雪崩のように増えていくであろう事例の、ほんの始まりにすぎません。
ここからは、「善玉AIボット対悪玉AIボット」の世界になります。どちらのアルゴリズムが優れているかの勝負であり、これが今後のサイバーセキュリティの姿になります。
私は、2026年末までにはこの状態が「当たり前」になっていると予測しています。もし時期に多少のズレがあるとしても、大きく外れることはないでしょう。
防御側の動き
とはいえ、すべてが悲観的なわけではありません。サイバーセキュリティの歴史の中で初めて、防御側が新しい技術の悪用方法を予測し、それを上回るエージェンティックAIによる防御策を先に考え出そうとしています。
私自身、サイバーセキュリティの38年のキャリアの中で、ようやく「攻撃者よりも防御側の方がうまくやれるかもしれない」と本気で感じています。AIを発明したのは防御側であり、防御側は攻撃側よりも長い時間と多くのリソースをAIに投じてきました。防御側の方が、AIを深く理解しているのです。
KnowBe4を含むあらゆるサイバーセキュリティ企業が、ハッカーやマルウェアに対抗するエージェンティックAIベースの防御機能を、すでに何年も前から開発しています。KnowBe4も10年以上にわたりAI防御の研究開発を続けており、この3年間はほぼエージェンティックAI防御に専念してきました。
その成果も見え始めています。当社のAI製品(AIDA)を利用しているお客様は、管理者だけに頼る場合と比べ、明らかに良い結果を得ています。たとえば、従業員に送るフィッシング訓練のテンプレート選定をAIDAに任せると、従業員はより多くのフィッシング訓練に引っかかるようになります。その分だけ追加の教育を受ける機会が増え、結果的に実際のフィッシング攻撃に対するリスクが下がるのです。
AIを訓練する
KnowBe4は、人に関わるリスクを減らすことを使命としています。そして現在では、そのミッションに「ユーザーが利用するAIエージェントのリスク」も含まれるようになりました。以前は、人だけを守り、訓練していればよかったのですが、今はユーザーが使うAIエージェントも訓練し、適切に導く必要があります。私たちは、AIエージェントのトレーニングとガイダンスに焦点を当てたソリューションの開発に全力で取り組んでいます。
この点については、KnowBe4のCEOであるBryan Palmaも、AIエージェントをどのように訓練していくかを語っています。
かつては、「人間対人間」の戦いでした。
しかし今は急速に「AI対AI」の時代へと移行しており、最終的には「AIと人間の最適な組み合わせ」が勝敗を分けるようになるでしょう。サイバーセキュリティにおいて人間の役割が完全になくなることはありませんが、これまで人間が担ってきた多くのタスクは、AIが代替していくことになります。
このブログで最も伝えたいのは、AIの進化と、それを攻撃者がどう使うかという点が、信じられないほどのスピードで変化しているということです。来年は、これまでのどの年とも違うものになります。いまから備えておくことが何よりも重要です。
原典:Roger Grimes著 2025年11月5日発信 https://blog.knowbe4.com/the-rapid-advancement-of-malicious-ai-is-changing-cyberdefense-forevermore