攻撃メールの過半数が「AI製」に──最新調査が示すサイバー攻撃の変化

2025年12月12日

サイバー攻撃に使われるメールの実に51%が、今やAIツールによって生成されている──そんな衝撃的な調査結果が発表されました。

セキュリティ企業のBarracudaがコロンビア大学やシカゴ大学の研究チームと共同で行った調査（2025年4月時点）によると、AIを使ったスパムや悪意あるメールの割合が、ここ数年で急増していることがわかります。

研究チームが2022年から約3年間のデータを分析したところ、ChatGPTが公開された2022年11月頃から、AI生成メールの割合はじわじわと増え始めました。

特に2024年3月には急増しており、その後多少の増減はあったものの、最終的に全体の半分以上を占めるまでになっています。

コロンビア大学のAsaf Cidon准教授によると、この急増の決定的な理由は特定できていないものの、「新しいAIモデルが登場し攻撃者が飛びついた」ことや、「攻撃の手法自体がAI向きのものにシフトした」ことなどが要因として考えられるそうです。

攻撃者がAIを利用する主な理由は、大きく分けて2つあります。

これまでのスパムメールといえば、文法がおかしかったり、不自然な言い回しが多かったりして見破れることがありました。しかし、AIが生成したメールは文法ミスが少なく、言葉遣いも丁寧で洗練されています。

特に、攻撃者が英語のネイティブスピーカーでない場合、AIを使うことで不自然さを消せるため、ターゲット（主に英語圏）を騙しやすくなります。また、マーケティング担当者がA/Bテストを行うように、攻撃者も「どの言い回しなら防御システムを突破できるか」をAIを使って何度もテストしているようです。

興味深いのは、フィッシング詐欺によくある「至急対応してください！」といった緊急性を煽る文面については、AI製でも人間製でも大きな差はなかったという点です。つまり、攻撃者は新しい騙し方を開発しているというよりは、既存の手口の「成功率」と「品質」を高めるためにAIを使っていると言えます。

一方で、経営層や取引先になりすまして金銭を騙し取る「ビジネスメール詐欺（BEC）」においては、AIの利用率はまだ14%程度にとどまっています。

特定の人物になりきるには、文脈や人間関係の細かなニュアンスが必要なため、現時点のAIではまだ人間には及ばない部分があるのかもしれません。

ただ、Cidon准教授は「今後は音声ディープフェイクが脅威になる」と予測しています。安価で高性能な音声合成技術を使えば、CEOの声色を真似て部下に送金指示を出すといった攻撃が可能になるため、この分野でもAI利用が進むのは時間の問題でしょう。

「怪しい日本語（英語）だからスパムだ」というこれまでの常識は、もう通用しなくなりつつあります。攻撃側がツールを進化させている以上、私たち防御側も「きれいな文章でも疑う」という意識のアップデートが必要になりそうです。

よかったらシェアしてね！