投稿者: フィンランドに本社を置く、サイバーセキュリティトレーニングサービス提供企業 Hoxhunt 社が 2025 年 4 月 4 日に発表した最新レポートによると、AI 駆動のフィッシングエージェントが、フィッシング攻撃の作成において、経験豊富な人間レッドチーム(攻撃シミュレーションを行う専門家集団)のパフォーマンスを上回ったことが明らかになりました。
Hoxhunt は、この状況を映画『ターミネーター』シリーズになぞらえて「 Skynet Moment(スカイネットの瞬間)」と表現しています。2 年にわたる開発の末、同社が手がけた AI エージェント(社内では「 JKR 」または「 Joker 」と呼ばれる)は、ついに人間のレッドチームを上回る効果でシミュレーションフィッシングキャンペーンを作成できるようになりました。
この AI エージェントの性能は時間の経過とともに急速に向上しています。2023 年には人間よりも 31% 効果が劣っていましたが、2024 年 11 月にはその差が 10% に縮まり、2025 年 3 月にはついに人間を上回り、逆に 24% も高い効果を示すようになりました。
研究によると、Hoxhunt の独自 AI スピアフィッシングエージェント(特定の相手を狙う巧妙な詐欺メール)「 JKR 」は、数百万の企業ユーザーを対象にテストされました。このエージェントは、ユーザーの役職や所在地などの特定のコンテキストを活用し、極めて精度の高いフィッシングメールを生成・改善できるよう設計されています。「 Evolves 」と呼ばれる内部プロセスを通じて、プロンプトとモデル出力を継続的に最適化することで、わずか数ヶ月でその性能を大きく向上させています。
現在、メールフィルターをバイパスする AI 作成のフィッシングメールは全体の 5% 未満ではありますが、ChatGPT が登場した 2022 年以降、その数は約 42 倍増加しています。また、同期間中にメールフィルターを回避するフィッシング攻撃は 49% 増加しました。
Hoxhunt の共同創設者兼最高技術責任者の Pyry Åvist 氏は、「AI テクノロジーが進化し続けるにつれて、より洗練されたフィッシング攻撃を作成する能力はさらに高まり、AI は攻撃的および防御的サイバーセキュリティ戦略の両方において不可欠なツールになる」と述べています。
今後、AI を使って特定の相手を狙う巧妙な詐欺メール(スピアフィッシング)を作成するツールが、誰でも利用できる詐欺メール攻撃サービスに組み込まれる可能性があります。そうなると、これまで手間をかけて特定の相手を狙った詐欺でしか見られなかったような巧妙な手口が、不特定多数に送られる「ばらまき型」の詐欺メールでも使われるようになり、その質が格段に上がってしまうかもしれません。