偽サイトやAIツールに要注意!2026年4月のセキュリティ脅威と今すぐできる対策
sec_seed_admin
SEC Seeds
AIがWannaCryを蘇らせる?!:今あなたが狙われる理由
sec_seed_admin
「AIは新しい脅威を生む」と思われがちですが、本当の危険はそこではありません。AIは10年以上前から存在する脆弱性(ソフトウェアやシステムに存在するセキュリティ上の欠陥・穴のこと)を、これまでの何倍もの速度と精度で悪用できるようにしているのです。2025年から2026年にかけて、この「AI×旧来の脆弱性」という組み合わせによる攻撃が世界規模で急増しており、日本のスマートフォンやパソコンを使う一般ユーザーも例外ではありません。米セキュリティメディア「Dark Reading」が2026年4月17日に公開した分析記事(著者:Nik Kale氏)をもとに、わかりやすく解説します。
何が起きたのか?
まず「古い脆弱性」とは何か、具体例で考えてみましょう。2017年に発覚した「EternalBlue」という脆弱性をご存じでしょうか。これはWindowsのファイル共有機能に存在した欠陥で、当時Microsoftがパッチ(修正プログラム)を公開したにもかかわらず、多くのユーザーが更新を怠ったため、同年5月に「WannaCry」と呼ばれるランサムウェア(パソコン内のファイルを勝手に暗号化し「元に戻してほしければ身代金を払え」と要求する悪質プログラム)が世界150か国・約23万台のコンピューターを感染させました。英国の国民保健サービス(NHS)では病院システムが止まり、手術の延期や患者の転院が相次ぎました。被害総額は推定80億ドル(約1兆2,000億円)超とされています。
問題は、このEternalBlueのような「修正済みのはずの古い脆弱性」が、2026年現在もまだ無数のデバイスに残っているという現実です。そこにAIが加わることで、何が変わったのでしょうか。
これまで攻撃者がある脆弱性を悪用するには、高度な技術知識と多くの試行錯誤が必要でした。ところがAIツールを使えば、専門知識がない人間でも「どの脆弱性を狙えばよいか」「どうすれば検知を回避できるか」を短時間で割り出せます。たとえば、攻撃者がAIに「このシステムに使えそうな公開済みの脆弱性を調べて、攻撃コードの書き方を教えて」と入力するだけで、かつては熟練ハッカーしかできなかった作業が自動化されてしまいます。
また、AIはフィッシング(本物そっくりの偽メールやサイトで個人情報やパスワードをだまし取る詐欺)メールの精度も飛躍的に向上させています。従来のフィッシングメールは日本語が不自然で気づきやすいものでした。しかし現在のAI生成メールは、受け取った人の名前・職業・購買履歴などをSNSや流出データベースから収集し、「田中様、先日ご注文いただいたAmazonの商品に配送問題が発生しました。以下のリンクから確認してください」という、個人に最適化された完璧な日本語のメールを大量に送り付けることができます。リンクをクリックすると、偽のログインページに誘導され、IDとパスワードが盗まれます。
さらに深刻なのが、AIによるソーシャルエンジニアリング(人間の心理や行動のクセを利用して、パスワードなどの機密情報をだまし取る手法)の高度化です。2024年には香港の多国籍企業で、CFO(最高財務責任者)のディープフェイク(AIで人の顔や声を精巧に偽造した動画・音声)映像を使ったビデオ会議で社員をだまし、約25億円が不正送金される事件が起きました。「古典的な手口(偽の指示で送金させる)+AI(偽の映像で信じ込ませる)」という組み合わせが被害を現実のものにしたのです。
あなたへの影響は?
「自分は大企業の社員でも有名人でもないから関係ない」と思うかもしれません。しかし、AIを使った攻撃は「一人ひとりを狙う」ことが従来より格段に安くなっています。攻撃者にとって、10万人に一斉送信してそのうち1%が引っかかれば十分なのです。
日本でも影響は現実のものとなっています。独立行政法人情報処理推進機構(IPA)の報告によれば、フィッシング詐欺の被害報告数は2023年から2024年にかけて増加傾向にあり、宅配便の不在通知、銀行のセキュリティ確認、ECサイトの支払い通知などを装った手口が多発しています。これらの多くはすでにAIによって最適化・個人化されていると見られています。
特に注意が必要なのは以下のような状況です。古いAndroidスマートフォンやWindowsのバージョンが古いパソコンを使っている場合、脆弱性が残ったままになっている可能性があります。2025年10月にMicrosoftのサポートが終了した「Windows 10」を今も使い続けているパソコンは、まさにこの「古い脆弱性」を抱えたままの状態です。
今すぐできる対策
- OSとアプリを常に最新の状態に保つ
WindowsならWindows Update、iPhoneならiOSアップデートを定期的に確認します。設定画面(Windowsなら「スタート」→「設定」→「Windows Update」)を開いて「更新プログラムの確認」をクリックするだけです。面倒なら「自動更新」をオンにしましょう。 - Windows 10を使い続けているなら乗り換えを検討する
2025年10月以降、Windows 10はセキュリティパッチが提供されなくなります。Windows 11への無償アップグレードが可能なうちに移行するか、難しければ新しいパソコンへの買い替えを検討してください。 - フィッシングメール・SMSに注意する
メールやSMSに含まれるリンクは、たとえ自分宛てに個人化されていても安易にクリックしないことが大切です。本物かどうか確認したい場合は、リンクからではなく、ブラウザに公式URLを直接入力してアクセスしましょう。 - 二要素認証(2FA)を設定する
二要素認証(パスワードに加え、スマホへのSMSコードや認証アプリなど2つ目の確認手段を使うログイン方法)を設定しておけば、パスワードが盗まれても不正ログインを防げます。銀行、メール、SNSのアカウント設定から「セキュリティ」や「ログイン」の項目を探して有効にしましょう。 - ルーターのファームウェアを確認する
家庭用Wi-Fiルーター(Buffalo、NEC Aterm、TP-Linkなど)も脆弱性の標的になります。製品名をメモしてメーカーの公式サイトで最新ファームウェアを確認し、管理画面(通常は「192.168.1.1」などにブラウザからアクセス)から更新してください。 - 不審なビデオ通話での送金指示は必ず別ルートで確認する
たとえ上司や家族の顔・声に見えても、ビデオ通話で「すぐに振り込んで」と言われたら、一度通話を切り、本人の電話番号に改めてかけ直して確認する習慣をつけましょう。
まとめ
AIは新しいセキュリティの穴を生み出しているのではなく、古くから存在する脆弱性・詐欺手口の「威力」と「規模」を何倍にも増幅しているというのが最大のポイントです。裏を返せば、OSやアプリを最新の状態に保ち、二要素認証を設定するといった「基本の対策」が、AIによる攻撃に対しても最も有効な盾になります。難しい知識は不要です。まず今日、使っているデバイスのアップデート状況を確認することから始めてみてください。
📚 参考・引用情報
| 記事 | 情報源 | 日付 |
|---|---|---|
| Every Old Vulnerability Is Now an AI Vulnerability | 🇺🇸 darkreading 著者: Nik Kale | 2026/04/17 |
ABOUT ME
Cyber Security Consultant (CISSP)
小規模組織のIT担当者と個人向けにサイバーセキュリティ情報を発信しています。わかりやすく・すぐ使えることをモットーに