1. 法人のお客さまトップ
  2. コラム
  3. BizDrive
  4. 生成AIが詐欺を"進化"させる時代が到来。巧妙化する偽SMSと新たなリスク

テクノロジーでビジネスの現場が変わる!(第92回)

生成AIが詐欺を“進化”させる時代が到来。巧妙化する偽SMSと新たなリスク

公開日
2026-03-31
thumbnail

生成AIの普及により、SMSを悪用した詐欺の手口が巧妙化しています。AIが生み出す自然な文章により詐欺メールの判断が困難になる中、企業はどのような対策を取るべきでしょうか。

Index

生成AIによって、偽SMSの文章は自然になった

 生成AIの急速な普及は、ビジネスの効率化や新しいサービス創出を促す一方で、サイバー犯罪の手口を変化させつつあります。

 独立行政法人 情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威2026」によると、「組織」向け脅威として「AIの利用をめぐるサイバーリスク」が初めてランクインし、3位に入りました。想定されるリスクとしては、AIに対する不十分な理解による情報漏えいや権利侵害、AIが生成した結果を十分に検証せず利用することによる問題や、「AIの悪用によるサイバー攻撃の容易化」や「手口の巧妙化」などが挙げられています。

組織向け脅威

組織向け脅威
独立行政法人 情報処理推進機構(IPA)「情報セキュリティ10大脅威2026」より引用


 こうした生成AIを悪用した詐欺の代表的なもののひとつが、スマートフォンのSMS(ショートメッセージサービス)を悪用した“偽SMS”による詐欺、いわゆる「スミッシング(Smishing)」です。

 スミッシングとは、SMSを使って偽のメッセージを送りつけ、フィッシングサイトへ誘導したり、不正アプリをインストールさせたりするサイバー攻撃の一種です。配送通知や金融機関の確認連絡などを装う手口がよく知られており、パスワードなどの重要情報を盗み取られる可能性や、不正なアプリをインストールさせられ、さらなる犯罪に悪用される可能性があります。

 スミッシング自体は、生成AIの登場前から存在する手口です。しかし、一般社団法人 日本サイバー犯罪対策センター(JC3)が2025年に公開した注意喚起「あなたのスマートフォンが犯罪のインフラに(2025年更新版)~生成AIにより巧妙化する偽SMS~」によると、生成AIの利用によって偽SMSの文面が多様化・巧妙化している事例を確認したといいます。

スマートフォンが犯罪に悪用される実態のイメージ図

スマートフォンが犯罪に悪用される実態のイメージ図
(日本サイバー犯罪対策センター「あなたのスマートフォンが犯罪のインフラに(2025年更新版) ~生成AIにより巧妙化する偽SMS~」より引用)

「このメールの文面は怪しい」ではもう防げない

 従来のスミッシングは、同じ文面を不特定多数に送りつける「ばらまき型」が主流でした。そのため、日本語の不自然さや定型的な文章から、受信者が不審なメッセージだと気づくケースも少なくありませんでした。

 しかし生成AIの普及により、攻撃者は自然な文章を短時間で大量に生成でき、配送通知やアカウント確認など、受信者の生活シーンに合わせたメッセージを作りやすくなりました。文面がより自然で、現実味のある内容であれば、受信者は不審に思うことなく開封する可能性が高まります。

 このような変化は、単なる文章の巧妙化にとどまりません。メッセージの内容が毎回異なれば、従来のセキュリティ対策であるフィルタリングや検知をすり抜ける可能性も高まります。

SMSにて実際に送付されたスミッシングメールの文面例

SMSにて実際に送付されたスミッシングメールの文面例
(日本サイバー犯罪対策センター「あなたのスマートフォンが犯罪のインフラに(2025年更新版) ~生成AIにより巧妙化する偽SMS~」より引用)

SMS詐欺は企業にとっても無関係ではない

 スミッシングは、必ずしも個人を狙った詐欺というわけではありません。その影響は企業にも及ぶ可能性があります。

 例えば、従業員が私用スマートフォンや業務用に会社から支給された端末で偽SMSのリンクを開き、不正アプリをインストールしてしまったとしましょう。その場合、端末がマルウェアに感染する恐れがあり、その端末が企業ネットワークやクラウドサービスに接続されていれば、内部システムへの侵入につながる可能性も否定できません。

 さらに、攻撃者側が自社や自社のサービスを装った偽SMSを送信、拡散するケースも考えられます。もし顧客や取引先がそのメッセージを信じて被害にあえば、企業のブランドイメージや信頼にも深刻な影響を与える恐れがあります。SMSを悪用した詐欺は、個人の問題としてだけでなく、企業のセキュリティや信用にも関わるリスクとして捉える必要があります。

生成AI時代のスミッシングに対抗する方法とは

 こうした偽SMSの被害から逃れるためには、どうすれば良いのでしょうか?日本サイバー犯罪対策センターでは一般ユーザー向けの対策として、偽SMSをいつでも受信しうることを認識し、身に覚えのないSMSや不審なSMS・不明な送信元からのSMSを受信した際には、詐欺を疑って対応することを呼びかけています。

 もし偽SMSに含まれるURLをタップしてしまった際は、アプリの導入を促されたり、ログイン画面や金銭に関わる情報や個人情報の入力を求められる恐れがあるため、特に注意が必要と警告しています。

 企業が取るべき対策としては、SMSの利用方針を明確にすることが考えられます。例えば、業務上の重要な連絡をSMSだけで行わない、公式通知は必ず社内ポータルなどで確認できるようにする、といったルールやポリシーを整備することで、従業員が不審なメッセージに引っかかるリスクを軽減することができます。

 セキュリティ教育の内容も見直す必要があるでしょう。これまでのように「不自然な日本語のメールに注意する」といった指導だけでは、AIが生成した自然な文章には対応できない可能性があります。万が一不審なSMSをきっかけとしたインシデントが発生した場合に備え、対応手順や連絡体制をあらかじめ整備しておくことも求められます。

 生成AIはビジネスを大きく変える可能性を持つ技術ですが、その一方で攻撃者にも新しい手段を提供しています。AIの利活用が進む時代だからこそ、企業はサイバーリスクの変化を理解し、組織としての対策を継続的に見直していく必要があるでしょう。

イベント・セミナー情報

イベント・セミナー情報

各種セミナー情報や、イベント開催のご案内、出展レポートなどをご紹介します。

資料ダウンロード

さまざまな業種・業態・規模のお客さまのビジネスに役立つ資料や、NTT東日本の各種サービスのパンフレット、ご利用ユーザーさま向けのマニュアルをダウンロードいただけます。

thumb_bizdrive_logo

BizDriveコラム

BizDriveコラムサイトトップページはこちらから