ChatGPTで詐欺?今起きている「生成AI犯罪」を知ろう

生成AI犯罪

「生成AIが犯罪に使われた」と聞くと、どこか映画のような話に感じる人も多いかもしれません。
しかし、2025年に日本国内で実際に起きた楽天モバイルの不正契約事件では、中高生がChatGPTを使い、複数の通信回線を乗っ取る行為がありました。
生成AI犯罪はどのように成立するのか?
この記事を通して実態を理解し、防ぐためにすべきことも一緒に考えていきたいと思います。

この記事では、今後増加するだろう「生成AI犯罪」の現状やこれから、対応策についてをお話しています。
【AI活用】ご検討されている方はこちらへ >>

この記事をおすすめしたい

・生成AIに興味をお持ちの方
・ChatGPTを仕事やプライベートで使ったことがある方
・AIを利用した犯罪について知りたい、危機感をお持ちの方

目次
  1. 他人事じゃない!?生成AIで起きた“現実の事件”から見えてくるもの
    1. ◆生成AIで「大量のID・パスワード」を一気に解析できる時代
    2. ◆「突破されたID」は私たちも使っていそうなもの
    3. ◆「本人確認」も突破される?AI時代の抜け穴
  2. それやってない?AIに狙われやすいアカウントの特徴3選
    1. その1:「よくある文字列」だと、AIに即バレる
    2. その2:IDとパスワードの「使い回し」が最も危険!
    3. その3:セキュリティ設定が“初期状態のまま”は狙われやすい
  3. 【海外でも被害拡大】ディープフェイクや音声詐欺の“次の段階”
    1. ◆ディープフェイクによる“本人映像”での詐欺が拡大中
    2. ◆短時間のサンプルからリアルな「声」を偽装する
    3. ◆次に来るのはAIによる「完全自動詐欺」?!
  4. 自分を守る為に今すぐできる“現実的な対策”4選
    1. その1:二段階認証(MFA)は面倒でも必ず設定する
    2. その2:パスワードは“長くて複雑”が鉄則&使い回し厳禁!
    3. その3:知らないメール・SMS・通話は絶対に開かない
    4. その4:生成AIに個人情報は入力しない
  5. 【まとめ】生成AIは便利。でも「賢く使う」ため、知らなければならないことがある
    1. ▶︎「便利さ」と「リスク」は常に表裏一体
    2. ▶︎「知らなかった」では守れない時代に
    3. ▶︎ 便利なAIを“上手に”使うかは自分の行動次第
  6. よくある質問と回答
  7. 最後に…

他人事じゃない!?生成AIで起きた“現実の事件”から見えてくるもの

ここ最近、AI技術が爆発的に広がり、自分の身近でも簡単に触れたり活用できる環境になっています。
その反面、専門的なプログラミング知識を必要としなくても、生成AIを使うことで詐欺不正アクセスに繋がる作業を行える環境が整いつつあることをご存知ですか?まず、今どのような状況にあるか確認していきましょう。

◆生成AIで「大量のID・パスワード」を一気に解析できる時代

従来は膨大なログイン情報を1件ずつ人力で試す必要がありましたが、生成AIはパターン予測やフィルタリングを自動化できます。特にChatGPTのような言語モデルは、人間の傾向を学習し、「この組み合わせは使われがち」といった“当たり”を優先して狙えます。その為、生成AIを使えば、数千万~数億件のID・パスワードリストから、「突破できそうなアカウント」を効率的に洗い出せるようになっているのです。

楽天モバイルを攻撃!未成年による生成AIを使った不正アクセス事件
2025年に警視庁が摘発した事件では、中高生3人が数十億件のIDリストをダークウェブから購入し、ChatGPTを使ってログイン可能性が高い情報を抽出したと報道されています。彼らはその結果、楽天モバイルで100件以上の契約を不正に取得し、通信回線を転売して利益を得ていました。
参照元:「中高生がAI悪用で750万」知らなかった親の”罪”

◆「突破されたID」は私たちも使っていそうなもの

犯人が使ったのは、誰もが一度は使っていそうなIDとパスワードのパターンでした。多くの人がSNSやショッピングサイトで使用するID(メールアドレス)+パスワードを、複数サービスで使い回しています。
生成AIはその傾向を解析し、「成功率の高い組み合わせ」を抽出できます。
事件では「名前+誕生日」「qwerty123」「password1」など、一般的すぎるパスワードが複数突破されたとされています。

◆「本人確認」も突破される?AI時代の抜け穴

不正契約の中には、AIが生成した偽造書類で本人確認を突破した可能性も指摘されています。
本人確認書類(免許証やマイナンバーなど)は、オンライン上で画像アップロードする形が多く、画像生成AI(例:DALL·EやStable Diffusion)を使えば、実在するような書類が作れる可能性があるからです。

会社員
社員N

生成AIに「よく使われる日本人のパスワードパターンを挙げて」など指示すると、驚くほど的確な候補が出るそうです。今一度自分のパスワード設定や管理について見直したいですね!

それやってない?AIに狙われやすいアカウントの特徴3選

生成AIを使った犯罪の中でも最もシンプルかつ効果的なのが、「パスワード解析」です。
実は、何気なく設定しているそのアカウント情報が、AIにとっては簡単すぎる問題かもしれません。
この章では、AIによる攻撃対象になりやすいアカウントの特徴を具体例を交えてご紹介します。読みながら、ご自身が当てはまっていないかチェックしてみてください。

その1:「よくある文字列」だと、AIに即バレる

生成AIは大量のデータを学習し、人間が使いがちなパターンを高速で試すことができます。
特に名前・生年月日・好きな単語などは、ChatGPTのような言語モデルが“予測しやすい”材料となります。

AIにとっての最初に試すリストとは. . .
2023年にNordPassが公表した調査によると、世界で最もよく使われているパスワード上位10位には「123456」や「qwerty(キーボードのアルファベットの配列の1つ)」などが並び、平均0.1秒で突破可能とされています。
参照元:Top 200 Most Common Passwords 

その2:IDとパスワードの「使い回し」が最も危険!

1つのサイトで漏れた情報が、他のあらゆるサービスへの“鍵”になってしまいます。
生成AIと照合スクリプトを組み合わせれば、1つのID情報で複数サービスへの不正ログインを一斉に試すことができるため、「再利用している情報」は最も効率的な攻撃対象になります。
前述の楽天モバイルの不正アクセス事件でも、攻撃者がダークウェブで入手した大量のID情報をもとに、ChatGPTで“使い回しされている可能性の高いパスワード”を選定し、自動的に試行するプログラムを構築していたと報道されています。

その3:セキュリティ設定が“初期状態のまま”は狙われやすい

アカウント登録時の「初期設定」のまま使っていると、生成AI攻撃に対する防御力がほぼゼロです。
多くのサービスでは初期状態で二段階認証がオフになっていたり、パスワードの強度チェックが緩かったりします。少なくない利用者が「初期状態のまま」使用している為、Google WorkspaceやMicrosoft 365などでもセキュリティ対策として二段階認証の有効化が強く推奨されているそうです。

会社員
社員N

AIは“セキュリティが甘いアカウント”を見つけるのも得意とのこと、改めて気をつけないといけないですね。

海外でも被害拡大】ディープフェイクや音声詐欺の“次の段階”

生成AIによる不正アクセス情報漏洩は、国内で身近な問題になりつつありますが、海外ではさらに一歩進んだ犯罪が現実となっています。特に注目すべきは、「見た目」や「声」まで偽装できてしまうディープフェイク技術の悪用。この章では、実際に発生している海外のAI詐欺事例を取り上げつつ、日本にとって他人事ではない“次のリスク”を明らかにします。

◆ディープフェイクによる“本人映像”での詐欺が拡大中

🚨幹部の「顔と声」を完全再現!ディープフェイク詐欺
2024年2月、香港警察は多国籍企業がディープフェイク詐欺により約2,500万ドル(約37億円)を騙し取られた事件を発表しました。詐欺グループはAIで生成したCFOの映像と音声を使ってZoom会議を偽装し、社員に極秘資金の送金を指示。これは、AIによる人物再現と社内会議の偽装を組み合わせた、高度なディープフェイク詐欺として報じられました。
参照元:Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’

◆短時間のサンプルからリアルな「声」を偽装する

🚨AIで上司の「訛りや「声のトーン」まで似せた音声詐欺
2019年、イギリスのエネルギー企業のCEOが、AIで“上司の声”を模倣した詐欺電話に騙され、約24万3,000ドルを送金する被害に遭いました。​詐欺師は音声AIを使い、上司の「ドイツ訛り」「声のトーン」「話し方」までも再現させ、実際に会話を交わす形で信頼を得た上で送金指示を出すという、きわめてリアルな音声詐欺が行われました。
参照元:Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case

◆次に来るのはAIによる「完全自動詐欺」?!

🚨シナリオ作成+会話して送金誘導まで、AIによる「完全自動詐欺」時代へ
ChatGPTなどの生成AIは、特定の条件下で「人間らしい判断」や「相手の感情を揺さぶるトーク」を行うこともできると言われています。今やフィッシングメールや詐欺電話のスクリプトも、AIが自動で作成・実行可能なのです。
欧州刑事警察機構(ユーロポール)は、生成AIの進化によってサイバー犯罪や詐欺が急増しており、国家レベルの脅威に発展する可能性があると警告し、各国に対して法整備と技術的対抗策の強化を呼びかけています。
参照元:Europol warns of AI-driven crime threats

自分を守る為に今すぐできる“現実的な対策”4選

生成AIを悪用した犯罪の進化は、もはや専門的なハッキング技術が不要なレベルに達しています。誰でもツールを使って不正アクセスや詐欺を仕掛けられる時代だからこそ、「自分には関係ない」と思っていた人こそ危険です。この章では、簡単に実践できる対策を4つご紹介したいと思います。

その1:二段階認証(MFA)は面倒でも必ず設定する

  • MFA(二段階認証)は最も効果的で即効性のある防御手段
  • 仮にIDやパスワードが漏れても、ログイン時にスマホの承認が必要になれば攻撃者は突破できない
  • 自動攻撃に対して、MFAを有効にするだけで99.9%は防げるといわれている

その2:パスワードは“長くて複雑”が鉄則&使い回し厳禁!

  • 1サイト1パスワードの原則を守るだけで、被害を大きく減らせる
  • 攻撃者は漏洩した情報をもとに、他のサービスにも同じパスワードでログインを試みる(パスワードリスト攻撃)
  • 生成AIは「よくあるパスワードのパターン」も学習しており、簡単な組み合わせは即座に解析される可能性がある

その3:知らないメール・SMS・通話は絶対に開かない

  • フィッシング詐欺は、昔から現在までに最も多い攻撃手段の一つ
  • 怪しい、もしくは身に覚えのないメールやSMSは、リンクを踏まないように徹底する
  • 生成AIは巧妙な文章作成が可能なため、文体やロゴ、送信元などが“本物そっくり”でも騙されない意識が重要

その4:生成AIに個人情報は入力しない

  • ChatGPTなどの生成AIには、住所や氏名、口座情報などの個人情報を絶対に入力しない
  • 生成AIの利用内容は、開発元のログに保持・学習に使われる可能性があるため、一度入力した情報は「二度と取り戻せない」と考えるべき
  • OpenAIの利用規約に「ユーザー入力の一部を学習・分析に使用する可能性がある」と記載がある
会社員
社員N

今月ニュースになったフィッシング詐欺が多発している楽天証券からは「不審なメールは開かず、公式アプリ・ブラウザから直接アクセスするように」と注意喚起されています。上記4つは自分だけでなく、周りの家族や友人にも自身を守るためにしてもらいたいルールです。

【まとめ】生成AIは便利。でも「賢く使う」ため、知らなければならないことがある

歓談している様子

今日、生成AIは私たちの生活や仕事にとって非常に便利な存在です。
しかし、その一方で、悪意ある使い方をされれば、誰もが被害者になる可能性があるという現実も見えてきました。だからこそ、この記事の締めくくりとしてお伝えしたいのは、AIを恐れるのではなく、正しく理解し、賢く使うことの重要性です。

▶︎「便利さ」と「リスク」は常に表裏一体

  • 生成AIの進化は素晴らしいが、その裏には“使い方ひとつで犯罪にもなり得る”リスクがあることを忘れてはいけない
  • AIは人間の創造力を補完するツール。しかし、悪意ある目的で使われれば、人間の悪知恵のスピードを何倍にも増幅してしまうほど危険なものになる
  • 実際に私たちが日常的に利用している企業がターゲットになり、ChatGPTのような生成AIが犯罪のツールとして使われる時代になっている

▶︎「知らなかった」では守れない時代に

  • AI犯罪の脅威はITに詳しい人だけが関係ある話ではなく、一般の会社員や学生でも“知らなければ巻き込まれる”時代
  • 攻撃者は、自分の声や顔、情報の隙を突いてくるため、セキュリティリテラシーの有無が生死を分けるリスクにもなりかねない
  • IPA(独立行政法人情報処理推進機構)によると、企業へのサイバー攻撃の多くが「従業員の情報リテラシー不足」に起因するとされている

▶︎ 便利なAIを“上手に”使うかは自分の行動次第

  • 生成AIをより良く使い続けるためには、最低限のセキュリティ意識と対策を自分たちの中で持つことが大事
  • AI技術はますます進化していく一方、その善悪を決めるのは「人間」の使い方次第でもある
  • 私たち一人ひとりが、“安心して使える環境”を守る当事者になることが必要!

【AI導入サポート】IAJにおまかせ!こちらからお気軽にお問合せください >>

よくる質問と回答

AIを使った犯罪は、専門的な知識のない人でも可能ですか?

はい、残念ながら、現在は専門的なプログラミング知識がなくても、生成AIを使って詐欺や不正アクセスの下準備ができてしまう環境が整いつつあります。

セキュリティソフトを入れていれば、AI犯罪も防げますか?

ウイルス対策ソフトは一定の防御になりますが、生成AIを用いた攻撃は手口が巧妙で、人間の判断力が最後の砦になります。技術だけに頼らず、意識づけも重要です。

被害に遭ってしまったら、どこに相談すればいいですか?

不正アクセスや詐欺の被害に遭った場合は、まず警察のサイバー犯罪相談窓口や消費者センターに相談し、速やかに利用しているサービスのサポート窓口にも報告してください。

最後に…

AIを利用した国内外の犯罪の現状や対策、これからの方向性などについて振り返ります。

生成AIは便利な一方で、ID・パスワードの解析やなりすましなどの犯罪に利用されるケースが急増しており、日本でも有名な大手企業などを狙った実例が発生しています。
犯人はChatGPTなどを用い、大量の流出IDから“突破しやすいパスワード”を効率的に特定して攻撃を仕掛けており、その再現性の高さが大きな脅威になっています。
海外では音声や映像を偽造するディープフェイク技術が詐欺に使われており、日本にもいずれ同様の手口が波及する可能性が高いため、注視が必要です。
対策としては二段階認証の設定、パスワードの使い回し防止、不審な連絡への警戒など、基本的なセキュリティ意識を“習慣化”することが何よりも大切です。
AIは悪ではなく、使う人間次第で善にも悪にもなります。賢く安全に使いこなすためにも、正しい知識と対策をもってテクノロジーと付き合うことが重要です。
会社員
社員N

実際に使っているサービスで、未成年者がAIを悪用して攻撃するという犯罪が起きました。
ニュースの中の話ではなく身近に迫る問題だと実感し、今回、生成AIを利用している立場やAIとの距離感を一度考える機会になりました。
「まさか自分には起こらないだろう〜」という考えは捨て、これからも“安全第一”にうまく付き合っていきたいと思います。
最後までお付き合いいただき、誠にありがとうございました!

【システム開発はIAJ】気になった点があれば何でもお聞き下さい!問い合わせはこちら >>

IAJlogo

<<IAJってどんな会社?>>
創業以来24年、専門知識が少ないジャンルでもお客様とお話ししながら伴走していくようなスタイルで、必要であればコード解析から行い、最新技術を取り入れながら、お客様のご要望(課題)を限りなく近い形で実現してまいりました。
おかげさまで、得意ジャンルはこれ、といった特化型な開発会社ではありませんが、 様々な業界のシステム開発を任せていただき、月間ユーザー200万人以上規模のポイント制度を用いたアプリ開発や1000万人規模のシステム開発をはじめ、多数のiOSやAndroidのアプリ開発や規模の大きなシステム開発などの実績を積んでまいりました。
私たちの強みは、実際に今後も時代に沿ってサービスも成長させていけるようなインフラ面も考慮した開発を行っている点で、実際にリプレイスを行いながら十数年にわたって運用しているサービスもございます。
 他にも、元々は他社で構築したサービスのリプレイスについても実績はございますので、ぜひ一度、私たちに検討されているシステムについてご相談してみませんか?

関連記事

  1. ブログタイトル0017

    AWSランニングコストを最小限に抑えたい!最適化する方法とは?

  2. AIエージェントがビジネスを変える?

    AIエージェントがビジネスを変える??

  3. ブログタイトル0015

    AWS移行のメリットと課題、成功ステップを徹底解説

  4. AIシステムの成功の鍵!インフラ整備はチェックしてますか?

  5. 知っておきたいAIエージェント事情

    知っておきたいAIエージェント事情!業務効率化への道

  6. ブログタイトル0023

    AIが変える、ビジネスと人間関係の未来